Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7977 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP / HTTPS nicht möglich über transparenten Proxy

Datax_87
Hallo Leute,

ich habe mal eine Frage zum WebProxy meiner Astaro ( UTM9.004-34, Software-Appliance ).

Ich habe den WebProxy im "Transparenten Modus" laufen, benutze keine Profile
und habe als "Allowed Network" mein internes Netz eingetragen, so dass der HTTP/S-Traffic dieses
Netzes ja eigentlich über den Proxy geleitet werden müsste.

Auf der Seite "Web Protection" -> "Webfilter" -> "Erweitert" sind auch HTTP sowie HTTPS als "Zugelassene Dienste" eingetragen, wenn ich jedoch über einen Rechner aus dem betreffenden internen Netz versuche Webseiten aufzurufen werden diese Anfragen durch die DefaultPolicy verworfen ( sehe ich im Firewall-LiveLog ).

Erst wenn ich manuell entsprechende Firewall-Regeln einrichte, die diesen Traffic erlauben funktioniert der Zugriff aufs Internet.

Ich dachte immer, dass es ausreicht den Proxy in den "Transparenten Modus" zu schalten,
das entsprechende Netz einzutragen ( Allowed Network ) und darauf zu achten,
dass HTTP/S in der Liste der zugelassenen Zieldienste eingetragen ist.

Habe ich da was falsch verstanden?

Gruß, Datax


This thread was automatically locked due to age.
Parents
  • 0
    Also erstens wird aktuell nur HTTP Verkehr über den transparenten Proxy geleitet.
    Man kann mal aus Spaß nen https verwenden, dann funktioniert das ganze nicht mehr (kannst natürlich den Proxy im Browser des Clients eintragen).

    Ja, natürlich musst du die Firewall konfigurieren, denn zuerst wird die Firewall Liste abgearbeitet, danach erst der Proxy.
    Warum soll die UTM in ein Packet checken bzw. analysieren, obwohl das ganze Netz gar nicht surfen darf.

    Nice greetings
Reply
  • 0
    Also erstens wird aktuell nur HTTP Verkehr über den transparenten Proxy geleitet.
    Man kann mal aus Spaß nen https verwenden, dann funktioniert das ganze nicht mehr (kannst natürlich den Proxy im Browser des Clients eintragen).

    Ja, natürlich musst du die Firewall konfigurieren, denn zuerst wird die Firewall Liste abgearbeitet, danach erst der Proxy.
    Warum soll die UTM in ein Packet checken bzw. analysieren, obwohl das ganze Netz gar nicht surfen darf.

    Nice greetings
Children
  • 0 in reply to GuyFawkes
    Also erstens wird aktuell nur HTTP Verkehr über den transparenten Proxy geleitet.
    Man kann mal aus Spaß nen https verwenden, dann funktioniert das ganze nicht mehr (kannst natürlich den Proxy im Browser des Clients eintragen).
    Falsch.
    Im transparenten Modus mit aktiviertem HTTPS-Scan wird HTTPS über den Proxy geleitet und geprüft.

    Ja, natürlich musst du die Firewall konfigurieren, denn zuerst wird die Firewall Liste abgearbeitet, danach erst der Proxy.
    Warum soll die UTM in ein Packet checken bzw. analysieren, obwohl das ganze Netz gar nicht surfen darf.

    Nice greetings
    Wieder Falsch.
    Man muss KEINE extra Firewallregel anlegen damit der Proxy an einer UTM funktioniert (so zumindest bei all den UTMs/ASGs die ich verwalte).
    Ebenso falsch ist die Aussage das die Firewallregeln vor dem Proxy angewendet werden. Die für den GUI-Benutzer unsichtbaren automatisch angelegten Regeln stehen immer vor den sichtbaren manuell angelegten Regeln (mit v9.1 soll die Sichtbarkeit IMHO geändert werden).
    iptables Chain AUTO_FORWARD, AUTO_INPUT und AUTO_OUTPUT stehen nun mal vor USR_FORWARD, USR_INPUT und USR_OUTPUT
  • 0 in reply to GMF

    Im transparenten Modus mit aktiviertem HTTPS-Scan wird HTTPS über den Proxy geleitet und geprüft.


    Das ist richtig, nur mit aktivierten HTTP-Scan.
    Auf dem Screenshot war der Haken nicht gesetzt, daher der Hinweis dazu.


    Wieder Falsch.
    Man muss KEINE extra Firewallregel anlegen damit der Proxy an einer UTM funktioniert (so zumindest bei all den UTMs/ASGs die ich verwalte).
    Ebenso falsch ist die Aussage das die Firewallregeln vor dem Proxy angewendet werden. Die für den GUI-Benutzer unsichtbaren automatisch angelegten Regeln stehen immer vor den sichtbaren manuell angelegten Regeln (mit v9.1 soll die Sichtbarkeit IMHO geändert werden).
    iptables Chain AUTO_FORWARD, AUTO_INPUT und AUTO_OUTPUT stehen nun mal vor USR_FORWARD, USR_INPUT und USR_OUTPUT


    im Übrigen hast du Recht!
    hab gerade mal die iptables geschaut und die sind hinter den automatisch generierten Regeln. Wenn Port HTTP bzw. wenn aktiv HTTPS nicht zutrifft, dann greifen die folgenden Regeln, die dann zutrifft.
    Danke für die Korrektur!

    Hier ist der Feature Request:
    WebAdmin: Display of Auto Packet Filter Rules

    Nice greetings
Cookie Information Banner