Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 923 views
  • Users 0 members are here
Options
Suggested

[7.460][BUG][NOTABUG] HTTP Proxy doesn't catch allowed services

Billybob
I have ftp in my http proxy allowed target services. The proxy is running in transparent mode.  If I visit an ftp site by changing my browser to port 8080, I get the directory listing produced by astaro. If I don't use port 8080 and try to let transparent proxy catch the service, it goes directly via packet filter.
Screenshots 
1. Allowed services in http proxy
2. ftp.astaro.com via port 8080
3. ftp.astaro.com via transparent proxy?
Parents
  • 0
    Hi Bob

    this is a design problem of an transparent proxy. All other firewall competitors can only handle port 80 for a transparent http proxy and port 443 for a transparent https proxy. If you want to use the proxy security for other ports you have to use another mode. There is no way to implement it.

    Greetings
    Andreas
  • 0 in reply to andyk007
    OK, may I restate this to be certain that I've understood correctly?

    In the 'Transparent mode', the HTTP/S Proxy only captures traffic on ports 80 and 443, and that traffic is the only traffic scanned by the A-V engines.  Instead of creating packet filter rules for other web traffic, you can put those services into 'Allowed services' on the 'Advanced' tab, and the Astaro will create the necessary rules for you.  The traffic for these other services is NOT scanned by the A-V engines, nor is it otherwise handled by the Proxy.

    In the non-transparent modes, the HTTP/S proxy handles all of the services in 'Allowed Services' and the traffic is scanned by the A-V engines.


    I'm still left with the following questions:
    [LIST=1]
    • If the FTP Proxy is enabled, should one remove FTP from the HTTP allowed services regardless of the mode one is in?

    • How does the Proxy know that it's my browser making an FTP request instead of Filezilla? Is it possible to make a port-20 request via port 8080?  I must be ignorant of some fundamental principle.
    [/LIST]
    Thanks - Bob
  • 0 in reply to BAlfson
    In the 'Transparent mode', the HTTP/S Proxy only captures traffic on ports 80 and 443, and that traffic is the only traffic scanned by the A-V engines.  Instead of creating packet filter rules for other web traffic, you can put those services into 'Allowed services' on the 'Advanced' tab, and the Astaro will create the necessary rules for you.  The traffic for these other services is NOT scanned by the A-V engines, nor is it otherwise handled by the Proxy.

    You are correct. In transparent mode it only catches 80/443 and although the rules are created with allowed services, they can only be used if you point your browser to 8080.

    If the FTP Proxy is enabled, should one remove FTP from the HTTP allowed services regardless of the mode one is in?

    It doesn't matter if you remove it or not. FTP Proxy(frox) catches all ftp requests transparently on port 21 so the allowed services tab doesn't have any effect on transparent ftp proxy. If however you are pointing to 8080, the allowed services tab is handling all your traffic and ignores transparent ftp (frox).

     Is it possible to make a port-20 request via port 8080? I must be ignorant of some fundamental principle.

    Yes it is possible. As you can see in the second screenshot of my original post. If you put 8080 in your browser and ftp is in your allowed services, http proxy will handle port 21 requests for av and will even block requests if the url is blocked in content filter.
Reply
  • 0 in reply to BAlfson
    In the 'Transparent mode', the HTTP/S Proxy only captures traffic on ports 80 and 443, and that traffic is the only traffic scanned by the A-V engines.  Instead of creating packet filter rules for other web traffic, you can put those services into 'Allowed services' on the 'Advanced' tab, and the Astaro will create the necessary rules for you.  The traffic for these other services is NOT scanned by the A-V engines, nor is it otherwise handled by the Proxy.

    You are correct. In transparent mode it only catches 80/443 and although the rules are created with allowed services, they can only be used if you point your browser to 8080.

    If the FTP Proxy is enabled, should one remove FTP from the HTTP allowed services regardless of the mode one is in?

    It doesn't matter if you remove it or not. FTP Proxy(frox) catches all ftp requests transparently on port 21 so the allowed services tab doesn't have any effect on transparent ftp proxy. If however you are pointing to 8080, the allowed services tab is handling all your traffic and ignores transparent ftp (frox).

     Is it possible to make a port-20 request via port 8080? I must be ignorant of some fundamental principle.

    Yes it is possible. As you can see in the second screenshot of my original post. If you put 8080 in your browser and ftp is in your allowed services, http proxy will handle port 21 requests for av and will even block requests if the url is blocked in content filter.
Children
No Data