[7.080] Problems with HTTP-Proxy - Allowed networks

Hi.

I have defined a network group with two includes hosts (192.168.18.79 and 192.168.18.241).

Another computer with the IP 192.168.18.78 could access the HTTP-Proxy configured as transparent proxy. I thought that this IP could not use the proxy.

Regards Juergen
Parents
  • Hi Gert,

    the proxy works in transparent mode - no browser proxy configuration configured.

    Normally i use my complete network (192.168.18.0/24 as allowed network but i testet with a very reduced allowed network in proxy-global configuration (in one case a group of two single hosts - in another case only with a single host).

    But in both cases another computer could access through the proxy to the internet.
    I hoped that this computer could not because of a packet filter with a configured time event (my daughter should go to bed!).

    I hope this explantion could help.

    regards Juergen
  • Hi Gert,

    do you need some more details?

    Regards Juergen
  • Hi JuergenH,
    did you have the proxy working under v7.011 or earlier versions. What you are experiencing sounds like a default access setup problem.

    Ian M
  • Hi Ian.

    I used 7.011 before, updated to 7.075 (no fresh installation) and then to 7.080.

    Before my test I used the "internal (Network)" in every configuration without changes.

    The used single host and the hosts in the network group have IP numbers in the internal Network.

    So there are two possible bugs / errors:
    1. single hosts or network groups are not allowed to be used in the "DNS-allowed networks" - so it should not be possible to define them.
    or
    2. single hosts / network groups are allowed to be used - then the definion is not interpreted correct.

    regards Juergen
  • Hi JuergenH,
    I have a very extensive set of HTTP proxy rules in place for similar reasons to you. I use the proxy in standard mode.
    One PC (defined in the service->network tab) is in the time managed access profiles and another 6 PCs/laptops/linux boxes are in a group definition in the open access profile.

    All devices are defined in the services->network tab. It took me a long time to understand how to make it work. Most of the problems I had centered around the default (fallback) configuration. If that is setup wrong you will have open access regardless of the other profiles you have setup.

    Ian M
Reply
  • Hi JuergenH,
    I have a very extensive set of HTTP proxy rules in place for similar reasons to you. I use the proxy in standard mode.
    One PC (defined in the service->network tab) is in the time managed access profiles and another 6 PCs/laptops/linux boxes are in a group definition in the open access profile.

    All devices are defined in the services->network tab. It took me a long time to understand how to make it work. Most of the problems I had centered around the default (fallback) configuration. If that is setup wrong you will have open access regardless of the other profiles you have setup.

    Ian M
Children
  • Hi Ian.

    Thank you for your hints. The reduction of the allowed networks was only a test in a special situation.
    But you are right, it was a hard work to configure the http proxy because of other errors in 7.011 i used before.
    I use the proxy in transparant mode to force all http traffic through the virus check.

    -> In combination with a very hard security leck in the astaro solution, i think. If the proxy is active the packet filters are not in use (access to customer networks).

    I have defined the standard proxy configuration with categorie filters and one profile (for a network group) with time event based filters (not to allow any internet access via http in the defined time intervals). I defined another profile to allow everything allways for another network group.

    This works fine in 7.011. But in 7.075 / 7.080 there is a confirmed error with time event based filters in proxy profiles.

    To ship around this problem i played with the allowed networks - and find the problems described in this thread.

    regard Juergen
  • Hi JuergenH,
    I use the HTTP proxy in standard mode so I can force all web traffic through it and have it scanned. I also add extra ports, like some of the game updates etc, the downloads also get scanned if they are small enough.

    At this stage I haven't seen any issues with the time management in the http proxy.

    I do have to re-do some tests I was doing earlier and see they have the same result.

    The new proxy does seem to work a lot faster and so far no categorisation errors.

    From your previous threads I still think you have a configuration issue that didn't show up under v7.011 or the translation to the new proxy has not worked correctly.

    I don't expect to see much happen with only one user at the moment.

    Ian M
  • Hi Ian.

    Please don't misunderstand me. My proxy works, the time events are usable (with some actual problems). I use the transparant mode because i dont have to config the PCs in my network (6 PCs, average 3 Windows user on every PC (not astaro-defined users), 2 Browser types).

    I have isolated the time event problems in another thread. During this tests i found the configuration or interpretation error described in this thread.

    regards Juergen
  • Hi JuergenH,
    I think I have found the answer. A little explanation, in an earlier version I found the reporting was out by about 10hrs, because that is the timezone I am in. The reporting was happening at 0000 gmt not 0000 Aust time.

    Now while working through why my http proxy profile as described previously didn't work, I noticed that the clock on the webadmin page is currently showing 0434 where as the local time is 1535 daylight savings time. The ASG time as shown on the Management page is correct.

    The packet filter seems to take the correct time, but the webbased stuff takes it from a different source. I am currently writing this message through a web blocked workstation.

    Ian M