Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 678 views
  • Users 0 members are here
Options
Suggested

[7.470][QUESTION][ANSWERED] Web Security -Change from Transparent to AD SSO still allows full access

ThomasBall
Changed Web Security Mode from Transparent to Active Directory SSO.

All clients can still browse and Web Security reporting does not increment.

If I change the browser to proxy 8080 the user is authenticated and the reporting shows them by name and their new traffic. Remove the proxy setting allows "free" browsing.

I appears that Transparent Mode does not "turn off"

  Tom
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.470
    Type: QUESTION
    State: ANSWERED
    Reporter: Tegra
    Contributor: 
    MantisID: 
    --------------------------------
  • 0
    With Full Transparent I got completely blocked. Couldn't see even google.
    Does this make sense?
  • 0
    Tegra,
    please check if you have configured a packetfilter rule which allows the
    client networks accessing outgoing port 80 traffic. 
    If so you should disable this rule.
  • 0 in reply to ee-tra
    MacITguy, yes.  Full transparent mode is only if your internal IPs are public IPs.
  • 0 in reply to ee-tra
    Tegra,
    please check if you have configured a packetfilter rule which allows the
    client networks accessing outgoing port 80 traffic. 
    If so you should disable this rule.


    Yes there is a rule from the Installation Wizard using the "Web Surfing" group.

    Sorry but I appear to be confused here....

    I can find nothing in the manual that warns that packet filter rules have to be adjusted to sync with Web Security settings.

    To quote BAlfson: (06-03-2009, 08:54 AM) 

    "The packet filter rules will have no effect on users going through the HTTP"

    Based on this I concluded that Web Security was a "helper" that interacted and adjusted the "Web Surfing" packet filter group.

    I can see that packet filter rules definitely do come into play when setting up Web Security.

    I can also see the need to understand some more of individual mechanisms instead of trusting in the "black box" approach.

    Please correct me where I may be further confused, and point me to anything that might clear this up for me.

       Tom
       Tom
  • 0
    Not to be picky, but the complete quote is: "The packet filter rules will have no effect on users going through the HTTP Proxy."  It is a proxy, not a "helper."

    Think of the Astaro like an automated traffic cop that considers rules in sequence.  When traffic (Source IP + Destination IP + Destination Port) qualifies for a rule, it is handled according to that rule, and no further rules of that type are considered.  DNAT is considered first, then proxies, then packet filter rules, then SNAT and Masquerading.

    There is a "black box" to some extent.  For me, the advantage of the Astaro is that I can configure it, then an admin with little training can maintain it.  Someone who doesn't "understand some of the individual mechanisms" likely could configure an Astaro from scratch, but another person at the same skill level would have a difficult time managing it.

    Cheers - Bob