Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 925 views
  • Users 0 members are here
Options
Suggested

[7.460][BUG][NOTABUG] HTTP Proxy doesn't catch allowed services

Billybob
I have ftp in my http proxy allowed target services. The proxy is running in transparent mode.  If I visit an ftp site by changing my browser to port 8080, I get the directory listing produced by astaro. If I don't use port 8080 and try to let transparent proxy catch the service, it goes directly via packet filter.
Screenshots 
1. Allowed services in http proxy
2. ftp.astaro.com via port 8080
3. ftp.astaro.com via transparent proxy?
Parents
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.460
    Type: BUG
    State: NOTABUG
    Reporter: Billybob
    Contributor: 
    MantisID: 
    --------------------------------
  • 0 in reply to Astaro Beta Bot
    Hi BillyBob,

    I don't think this is a bug.

    The Allowed Target Services list in the HTTP advanced will only apply to ports allowed through when the proxy is set in your Browser.  

    Transparent mode proxy only picks up port 80 (or 443 as well in Scan SSL mode).  As such even though FTP is in your list it should only be expected to pickup when using the ASG as your designated proxy.
  • 0 in reply to Cath
    I understand what you are saying and I think this is the default behavior even with earlier versions. But lets say you are going to download.com and download a file. It will say redirecting to a download site, and then you will get a download message. In your mind you are browsing via http proxy with full virus protection. However when the redirection took place, the download was switched over to ftp and hence not protected by url filtering or anything. 

    That might be by design but why not just add a packet filter rule if it works as expected with regular proxy enabled. Wouldn't you agree? Atleast there should be some mention somewhere of this behavior.
  • 0 in reply to Billybob
    Thanks, Billybob, I just realized there's a raft of things I don't uinderstand...

    Are we sure that it's normal behavior for the AV to apply only to HTTP/S traffic?

    If the FTP Proxy is enabled, should one remove FTP from the HTTP allowed services?

    In Transparent Mode, how does the Proxy know that it's my browser making an FTP request instead of Filezilla?  If I don't have a PF rule allowing FTP, and I haven't enabled the FTP Proxy, shouldn't such requests be blocked for Filezilla?

    Cath, are there other "pernicious" things about what goes in the HTTP Proxy allowed services list?

    Thanks - Bob
  • 0 in reply to BAlfson

    In Transparent Mode, how does the Proxy know that it's my browser making an FTP request instead of Filezilla?  If I don't have a PF rule allowing FTP, and I haven't enabled the FTP Proxy, shouldn't such requests be blocked for Filezilla?


    This is my main concern, I believe by default the ftp helper is enabled under packet filter-->advanced-->connection tracking helper. Which means that if you have a masquerading rule that says 
    masq-->internal network-->external network, you have automatic ftp access without explicit ftp enable rule in packet filter.
Reply
  • 0 in reply to BAlfson

    In Transparent Mode, how does the Proxy know that it's my browser making an FTP request instead of Filezilla?  If I don't have a PF rule allowing FTP, and I haven't enabled the FTP Proxy, shouldn't such requests be blocked for Filezilla?


    This is my main concern, I believe by default the ftp helper is enabled under packet filter-->advanced-->connection tracking helper. Which means that if you have a masquerading rule that says 
    masq-->internal network-->external network, you have automatic ftp access without explicit ftp enable rule in packet filter.
Children
No Data