Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1755 views
  • Users 0 members are here
Options
Suggested

[9.201-23][ANSWERED] Webfilter Profile Mode

mod2402
I've found a bug in the webfilter profile handling. I've configured on my notebook ie with proxy standard mode. If I open now my browser the traffic goes to the utm to port 8080.

On the utm is the standard profile configured for the network to use proxy in standard mode and a proxy profile for my notebook (transparent mode).

The traffic that is send to port 8080 is handled by the dedicated proxy profile. I think this is a bug.

[HTML]2014:04:13-18:17:55 asg-1 httpproxy[26982]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.24.60" dstip="85.115.22.9" user="" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo3 (Transparent w8)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="22965" request="0x125d9540" url="www.astaro.org/.../Business Forums"
[/HTML]
  • 0
    profile="REF_HttProContaInterNetwo3 (Transparent w8)"

    As long as there's a Profile active for the network "w8kc," the Proxy will react in Standard mode to 8080 traffic sent to the IP of "Internal (Address)" from clients in that network.  This is a feature, rather than a bug.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,
    thanks for your answer. Then I've missunderstood the online help?

    Transparent mode: In transparent mode, all connections made by client browser applications on port 80 (port 443, respectively, if SSLCollapsed is used) are intercepted and redirected to the Web Filter without client-side configuration. The client is entirely unaware of the Web Filter server. The advantage of this mode is that no additional administration or client-side configuration is necessary, the disadvantage however is that only HTTP (port 80) requests can be processed. Thus, when you select the transparent mode, the client's proxy settings will become ineffective.

    Regards,
    mod
  • 0
    I believe the reason why the transparent mode is accepting port 8080 traffic is probably because that service is in the "Allowed target services" on the Advanced tab. Not sure if it is advisable to remove it since you have both standard and transparent profiles.
  • 0 in reply to mod2402
    ....the disadvantage however is that only HTTP (port 80) requests can be processed
     Once you turn the proxy on (transparent or otherwise) it is always listening on port 8080 or whatever port number you have assigned in Misc section of the filtering options. Only thing that transparent does is catches the port 80 traffic for you and forwards it to 8080 instead of you changing it in your browser.
    The disadvantage that you are referring to means that if you are using transparent proxy, only port 80 is captured so all the other allowed services in the "Allowed target services" box won't be captured in transparent mode.



    Thus, when you select the transparent mode, the client's proxy settings will become ineffective.
     The client's proxy settings won't become ineffective. If you give wrong proxy port, your connection won't work. I use this all the time. I have my PC in skip transparent list and use port 8080 to connect to transparent proxy when I want to do AV scan etc. otherwise my PC doesn't use proxy at all.
  • 0
    Hi Billybob,

    When the transparent mode accepts connections to port 8080 on the local interface, what is the recommend way to protect the computers in the local network. I need a solution where I can use full https inspection for websurfing and URL Filtering only for the other apps that can't use a standard proxy?

    Regards
    mod
  • 0
    The Help is misleading (outdated) and I'm trying to get a rewrite for 9.202.

    If you have standard mode it listens on port 8080.

    If you have transparent mode it still listens on port 8080 exactly as standard, however it also listens on port 80.  If you have HTTPS scanning it also listens on 443.

    Basically, transparent mode includes all of standard mode.

    If you have one network that has both transparent and standard and want the same actions, just create a single Profile that has what you want.

    If you have one network that does both but you want different behavior for standard and transparent, then create two profiles and make sure standard is above in the list.
  • 0
    Hi Michael,
    thank you for clarification. This sounds logical and is working perfectly for me [:)]

    Regards
    mod
Unfiltered HTML