Thread Info
  • State Not Answered
  • Replies 45 replies
  • Subscribers 0 subscribers
  • Views 14090 views
  • Users 0 members are here
Options
Suggested

A Firewall rule does not work

most_ahdy
Hi all ,
   How to allow this type of traffic using Firewall rules "kindly find the attached photo of the dropped traffic"

Because I use the attached firewall rule and did not success in permitting this type of traffic.
Thanks,
Mostafa Aly
  • 0
    Exact version - 8.305?

    Also, please confirm that "Office web profile" is in "Transparent" mode and HTTPS traffic is being scanned.

    Does this happen with all HTTPS websites, or just 91.189.89.76?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes its Exact version  is 8.305.
    "Office web profile" is in "Transparent" mode and HTTPS traffic is being scanned. confirmed as per the attached screenshot.

    Does this happen with all HTTPS websites, or just 91.189.89.76?
    At first with Ubuntu update this not happen just with 91.189.89.76 only but there is many IPs but I only list an example of the log.

    and this alway happen with any Https websites for example when access :"www.adtran.com/.../wp_myadtran_landing

    I receive the following :
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc4bab038" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 4076055408:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1094:SSL alert number 48
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc4bab038" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 4076055408:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:845:
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.10.36" dstip="" user="" statuscode="000" cached="0" profile="REF_bJTWXvAyTS (Office Web Profile)" filteraction=" ()" size="0" request="0xc4bab038" url="91.189.89.76" exceptions="" error="" .
  • 0 in reply to BAlfson
    Yes its Exact version  is 8.305.
    "Office web profile" is in "Transparent" mode and HTTPS traffic is being scanned. confirmed as per the attached screenshot.

    Does this happen with all HTTPS websites, or just 91.189.89.76?
    At first with Ubuntu update this not happen just with 91.189.89.76 only but there is many IPs but I only list an example of the log.

    and this alway happen with any Https websites for example when access :"www.adtran.com/.../wp_myadtran_landing

    I receive the following :
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc4bab038" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 4076055408:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1094:SSL alert number 48
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc4bab038" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 4076055408:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:845:
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.10.36" dstip="" user="" statuscode="000" cached="0" profile="REF_bJTWXvAyTS (Office Web Profile)" filteraction=" ()" size="0" request="0xc4bab038" url="91.189.89.76" exceptions="" error="" .
  • 0 in reply to BAlfson
    Yes its Exact version  is 8.305.
    "Office web profile" is in "Transparent" mode and HTTPS traffic is being scanned. confirmed as per the attached screenshot.

    Does this happen with all HTTPS websites, or just 91.189.89.76?
    At first with Ubuntu update this not happen just with 91.189.89.76 only but there is many IPs but I only list an example of the log.

    and this alway happen with any Https websites for example when access :"www.adtran.com/.../wp_myadtran_landing

    I receive the following :
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc4bab038" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 4076055408:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1094:SSL alert number 48
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xc4bab038" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 4076055408:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:845:
    2012:07:26-13:29:11 asg httpproxy[6055]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.10.36" dstip="" user="" statuscode="000" cached="0" profile="REF_bJTWXvAyTS (Office Web Profile)" filteraction=" ()" size="0" request="0xc4bab038" url="91.189.89.76" exceptions="" error="" .
  • 0
    Dears,
          After some investigation I noticed that these errors does not related to the ubuntu updates, and I could not reach to the cause of these errors but I noticed that it is related to only these URL:
    https://91.189.89.76
    https://91.189.89.114

    so can any one tell me what is the mean of these error logs? is this relates to certificates?
    and why upuntu update does not work unless I made an ssl scanning exception? I think that also relates to certificates also!!!!
    Any advice
  • 0
    Both of those sites have an https certificate that doesn't match the hostname.  If you trust those sites, you can make an Exception for 'Certificate Trust Check' or add the IPs to 'Skip transparent mode destination hosts/nets'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Both of those sites have an https certificate that doesn't match the hostname.  If you trust those sites, you can make an Exception for 'Certificate Trust Check' or add the IPs to 'Skip transparent mode destination hosts/nets'.

    Cheers - Bob


    I made an Exception for 'Certificate Trust Check' as attached, and this did not work I am still receiving this kind of logs as follow:
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xbceb3b68" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 3891833712:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1094:SSL alert number 48
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xbceb3b68" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 3891833712:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:845:
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.10.36" dstip="" user="" statuscode="000" cached="0" profile="REF_bJTWXvAyTS (Office Web Profile)" filteraction=" ()" size="0" request="0xbceb3b68" url="91.189.89.114" exceptions="" error=""

    I'll add the IPs to 'Skip transparent mode destination hosts/nets' and feed you back with the result.
    Thanks,
    Mostafa Aly
  • 0 in reply to BAlfson
    Both of those sites have an https certificate that doesn't match the hostname.  If you trust those sites, you can make an Exception for 'Certificate Trust Check' or add the IPs to 'Skip transparent mode destination hosts/nets'.

    Cheers - Bob


    I made an Exception for 'Certificate Trust Check' as attached, and this did not work I am still receiving this kind of logs as follow:
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xbceb3b68" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 3891833712:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1094:SSL alert number 48
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xbceb3b68" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 3891833712:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:845:
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.10.36" dstip="" user="" statuscode="000" cached="0" profile="REF_bJTWXvAyTS (Office Web Profile)" filteraction=" ()" size="0" request="0xbceb3b68" url="91.189.89.114" exceptions="" error=""

    I'll add the IPs to 'Skip transparent mode destination hosts/nets' and feed you back with the result.
    Thanks,
    Mostafa Aly
  • 0 in reply to BAlfson
    Both of those sites have an https certificate that doesn't match the hostname.  If you trust those sites, you can make an Exception for 'Certificate Trust Check' or add the IPs to 'Skip transparent mode destination hosts/nets'.

    Cheers - Bob


    I made an Exception for 'Certificate Trust Check' as attached, and this did not work I am still receiving this kind of logs as follow:
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xbceb3b68" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 3891833712:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1094:SSL alert number 48
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xbceb3b68" function="ssl_log_errors" file="ssl.c" line="50" message="C 192.168.10.36: 3891833712:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:845:
    2012:07:31-14:02:28 asg httpproxy[6119]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.10.36" dstip="" user="" statuscode="000" cached="0" profile="REF_bJTWXvAyTS (Office Web Profile)" filteraction=" ()" size="0" request="0xbceb3b68" url="https://91.189.89.114" exceptions="" error=""

    I'll add the IPs to 'Skip transparent mode destination hosts/nets' and feed you back with the result.
    Thanks,
    Mostafa Aly
  • 0
    I added the IPs to 'Skip transparent mode destination hosts/nets', But I noticed that when I added these IPs to Skip transparent mode destination hosts/nets" I received request timeout error. kindly find the attached snapshot of the configuration.
    Thanks,
    Mostafa Aly