Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 749 views
  • Users 0 members are here
Options
Suggested

[7.470][BUG][NOTABUG] Users vs networks and proxy profiles.

Coder68
After reading the KB on proxy profiles, and looking at the flow chart again, I understood the proxy profile settings better.

After some testing, I guess I won't be able to use this feature like I wanted.

I thought this is how Astaro would use the profiles:

User Joe logs into the proxy.  Astaro looks at his settings and sees he is in a network with a proxy profile, but is not assigned to any proxy assignments, so Astaro assigns the settings on the http/s page to Joe.  ( For example SSL scanning is turned on)

User Fred logs in into the proxy.  Astaro looks and sees that he is on a network with a proxy profile and is assigned to a proxy assignment, therefore applies those proxy profile rules to Fed. (For example SSL scanning is turned off)

But this is not what I am getting.  No matter who I log in as on my local network, I get the proxy profile filter actions. Even when that person is not assigned to any proxy assignment. (PSI is the only one assigned to "filter assignments")

[PHP]user="c68" statuscode="403" cached="0" profile="REF_IeVbvwIpZh (PSI)[/PHP]

It seems that this is the way it works.

Any user on an assigned network to the proxy profile gets that profile by default.  If there are additional filter settings that the user is assigned to, then those apply too. 

Based on my testing, this is correct.  

I would love to see a on/off filter action for  SSL scanning in the filter actions!!!!

I guess it comes down to the simple fact that I am stuck with just turning off SSL scanning when I want to use the PSI tool. (SSL error that I only get with PSI, no websites.)

C68
Parents
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.470
    Type: BUG
    State: NOTABUG
    Reporter: Coder68
    Contributor: 
    MantisID: 
    --------------------------------
  • 0 in reply to Astaro Beta Bot
    I'm not sure I'm following you, but I think you still are a bit off to the side on how HTTP Proxy Profiles work, and that you have some remaining misconfiguration.

    In a given profile, there may be several filter actions.  A client is evaluated for the first filter action, it it applies to him, subsequent actions are ignored.  A client qualifies for a profile based on IP address; he then qualifies for a filter action based on group membership.

    You are right that HTTPS scanning only changes with the Profile, not the filter action.  I know that they have a long-term project to change the structure of filter assignements, so, if this is important to you, you definitely should vote for or submit the suggestion on the Feature Requests site.

    Cheers - Bob
  • 0 in reply to BAlfson
    I was planing to finish looking into this when I got home from work, but based on what you are saying, I don't think I need to test further.

    If I understand what you are saying...

    I do a global block of google.com. (Default action filter)
    I have two users in network 1.
    I have a proxy profile assigned to network 1.
    User 1 is not assigned to any non default filter assignments.
    User 2 is assigned to a custom filter assignment that has a filter action that marks google.com as allowed.
    The proxy profile has a fall back of the default action filter. (Found under the filter actions tab)

    In this setup, it is my understanding that

    1. The HTTP/S pages means nothing (for this network) since we are using a proxy profile. (The default action filter takes the HTTP/S's place, for this network.) 
    2. User 1 will be blocked by the default action filter when they try to access google.
    3. User 2 will be allowed to get to google since he is allowed to go to google in his assigned filter.  (His custom filter is checked first.)
    4. Once it hits a filter that tells Astaro yes or no, Astaro grants that access level, and stops looking for more rules.

    Sound about right?

    I think some of my confusion comes from one of the proxy profile settings.  See attached pic.

    What causes (forces) the fall back filter to be used, for a user who has a filter assignment? 

    I take it if you have two proxy profiles, the one listed first is the only one Astaro pays any attention to?

    Thanks,

    C68
  • 0 in reply to Coder68
    Hi Coder68,
    if you have different profiles you must be blocking something from going out otherwise you would just the use generic one for everyone. So if there is a condition which isn't covered in your specific filter then the packet flows through to the default filter.
    I can't be more specific because I don't know what you have condigured in your filters.

    Ian M
Reply
  • 0 in reply to Coder68
    Hi Coder68,
    if you have different profiles you must be blocking something from going out otherwise you would just the use generic one for everyone. So if there is a condition which isn't covered in your specific filter then the packet flows through to the default filter.
    I can't be more specific because I don't know what you have condigured in your filters.

    Ian M
Children
  • 0 in reply to RFCat_vk_01
    I will be (am) blocking different stuff for different users.  I will be setting up much more strict settings for the kids then for the adults. 

    Originally, other then being more strict with the kids, I was hoping to be able to assign a second profile for the user "PSI" (A software scanning tool that looks for vulnerable software.) where SSL scanning was off for that "user".  That way I would not have to go in and turn off SSL scanning every time I wanted to use this tool. All I would have to do is log in as PSI. 

    IMHO there are a few changes to this area of Astaro that could be highly beneficial, especially in a corporate network.  (Features I see, and features we could use at work.) I will have to suggest them via the feature request site. 

    So there is my reasoning for using the proxy filter, how about my logic?  Is my description of the "flow" through the proxy rules correct?

    Thanks, 

    c68
  • 0 in reply to Coder68
    Hi,
    a quicker way of doing what you want is to have 2 different profiles based on IP address or PC name. Hard code the IP address rather than use the DHCP function. Change the IP address to change profiles, but don't forget ot flush the DNS cache of the PC each time you change.

    You could also have deifferent userids so that you would be requested to login each time.
    While this is not what you require for work it will work for your testing.

    The only thing to watch is the HTTPS scanning because that is on by default for everyone even though you turn it off in each profile, this is at least for the standard configuration I use. I think there is a bug there as I think you pointed out earlier.

    Regards
    Ian M
  • 0 in reply to RFCat_vk_01
    RFCat_vk,

    I am not sure I totally understand your last message.

    I am not using DHCP for these test PC's. Since the kids can use any PC... I do not want to tie a profile to an IP.  Good idea though. 

    Work uses a different product, and will continue to do so... at least until the contract is up.  I will push for them to at least try Astaro when that day comes!

    I do have different user ID's; C68 and PSI currently. (I am currently testing PSI as if it were one of the kids... and not as I had originally intended. I just have not renamed it yet...)

    Everything works as I want, except for the turning off of SSL scanning based on a user ID.  PSI is a corporate tool that home users get to use for free. (Sound familiar? [:)] ) They do have a network version of the tool, that home users do not get to use, and this may act differently in it's connection to Secunia.... but I doubt it. It would be nice if you could add the skipping of SSL scanning to the exceptions tab.  Currently you can only choose not to check the Certificate Trust Check and the Certificate Date Check.  Adding that here would be a cleaner solution then what I tried to do.  I tried to do it the profile way because I was unable to get it to work through the exception tab.

    After the exceptions failed, my hope was to use a profile. 
    I waned to be cruising along on the net logged in as c68 which has SSL scanning. Then, when I decided to scan my PC, I wanted to log out of c68 and in as PSI - PSI would be a user with no SSL scanning. But, I it does not work that way.  At least not yet. 

    Thanks for all the great help!!

    C68