[7.460][BUG][NOTABUG] HTTP Proxy doesn't catch allowed services

Hi BillyBob,

I don't think this is a bug.

The Allowed Target Services list in the HTTP advanced will only apply to ports allowed through when the proxy is set in your Browser.  

Transparent mode proxy only picks up port 80 (or 443 as well in Scan SSL mode).  As such even though FTP is in your list it should only be expected to pickup when using the ASG as your designated proxy.

Hi BillyBob,

I don't think this is a bug.

The Allowed Target Services list in the HTTP advanced will only apply to ports allowed through when the proxy is set in your Browser.  

Transparent mode proxy only picks up port 80 (or 443 as well in Scan SSL mode).  As such even though FTP is in your list it should only be expected to pickup when using the ASG as your designated proxy.

I understand what you are saying and I think this is the default behavior even with earlier versions. But lets say you are going to download.com and download a file. It will say redirecting to a download site, and then you will get a download message. In your mind you are browsing via http proxy with full virus protection. However when the redirection took place, the download was switched over to ftp and hence not protected by url filtering or anything. 

That might be by design but why not just add a packet filter rule if it works as expected with regular proxy enabled. Wouldn't you agree? Atleast there should be some mention somewhere of this behavior.

Thanks, Billybob, I just realized there's a raft of things I don't uinderstand...

Are we sure that it's normal behavior for the AV to apply only to HTTP/S traffic?

If the FTP Proxy is enabled, should one remove FTP from the HTTP allowed services?

In Transparent Mode, how does the Proxy know that it's my browser making an FTP request instead of Filezilla?  If I don't have a PF rule allowing FTP, and I haven't enabled the FTP Proxy, shouldn't such requests be blocked for Filezilla?

Cath, are there other "pernicious" things about what goes in the HTTP Proxy allowed services list?

Thanks - Bob

In Transparent Mode, how does the Proxy know that it's my browser making an FTP request instead of Filezilla?  If I don't have a PF rule allowing FTP, and I haven't enabled the FTP Proxy, shouldn't such requests be blocked for Filezilla?

This is my main concern, I believe by default the ftp helper is enabled under packet filter-->advanced-->connection tracking helper. Which means that if you have a masquerading rule that says 
masq-->internal network-->external network, you have automatic ftp access without explicit ftp enable rule in packet filter.

The point is that if you have port 8080 in your browser and the proxy is running in transparent mode, you can surf ftp sites, http sites without any additional packet filter rules. Why is it then that in transparent mode, although the configuration tab for allowed target services is available, it has no effect and the behavior is dependent on client settings instead of server settings.

I just realized there's a raft of things I don't uinderstand...

I think this beta is taking its toll on everybody. Specially with newer versions not coming as frequently as I had hoped.

Bob, Cath is right. If you read the manual, it says that in transparent mode, it will catch only port 80 traffic or https if that is enabled. I guess the problem is that  I am so used to using proxy in standard mode, in which it will catch certain protocols without any further packet filter rules as long they are in the allowed target services.

In standard mode, all ftp traffic is handled just like http traffic with all the fancy download graphs and blocked messages that you expect to see. If you enable the seperate FTP proxy (frox), it runs a seperate proxy which doesn't include any of these features. I wonder why didn't they implement transparent mode for in house proxy. Maybe to be more verbose for the command line ftp clients?

I guess the real bug is that the allowed target services only works for standard proxy modes, although it is available in any mode.