Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7977 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP / HTTPS nicht möglich über transparenten Proxy

Datax_87
Hallo Leute,

ich habe mal eine Frage zum WebProxy meiner Astaro ( UTM9.004-34, Software-Appliance ).

Ich habe den WebProxy im "Transparenten Modus" laufen, benutze keine Profile
und habe als "Allowed Network" mein internes Netz eingetragen, so dass der HTTP/S-Traffic dieses
Netzes ja eigentlich über den Proxy geleitet werden müsste.

Auf der Seite "Web Protection" -> "Webfilter" -> "Erweitert" sind auch HTTP sowie HTTPS als "Zugelassene Dienste" eingetragen, wenn ich jedoch über einen Rechner aus dem betreffenden internen Netz versuche Webseiten aufzurufen werden diese Anfragen durch die DefaultPolicy verworfen ( sehe ich im Firewall-LiveLog ).

Erst wenn ich manuell entsprechende Firewall-Regeln einrichte, die diesen Traffic erlauben funktioniert der Zugriff aufs Internet.

Ich dachte immer, dass es ausreicht den Proxy in den "Transparenten Modus" zu schalten,
das entsprechende Netz einzutragen ( Allowed Network ) und darauf zu achten,
dass HTTP/S in der Liste der zugelassenen Zieldienste eingetragen ist.

Habe ich da was falsch verstanden?

Gruß, Datax


This thread was automatically locked due to age.
Parents
  • 0
    Hallo GMF und GuyFawkes,

    mein Verständnis zum "Transparenten Proxy" war bisher so wie es GMF beschrieben hat.

    Wenn man den Proxy transparent betreibt werden automatisch iptables-Regeln erstellt,
    die den entsprechenden Traffic erlauben ( bezogen auf die "Zugelassenen Dienste" ).

    So geht die Astaro auch vor, wenn man beim Erstellen von IPSec-Tunnel die Option "Automatische Firewallregeln" aktiviert.

    Dann werden im Hintergrund auch iptables-Regeln erstellt, die "Any" zwischen den lokalen Netzen ( die im Tunnel konfiguriert sind ) und den Remote-Netzen erlauben.

    Diese Regeln werden aber nicht unter "Network Protection" -> "Firewall" angezeigt,
    dort sieht man nur selbst, also manuell angelegte Regeln.

    Bin gerade mal dem Hinweis von GMF nachgegangen:

    "Im transparenten Modus mit aktiviertem HTTPS-Scan wird HTTPS über den Proxy geleitet und geprüft."

    Ich habe festgestellt ( ist mir vorher nicht aufgefallen, da ich viele Seiten per HTTPS aufrufe ), dass HTTP auch ohne zusätzliche ( manuell angelegte ) Firewall-Regel funktioniert, also so wie es sein sollte.

    Jetzt, wo ich die Option "HTTPS-Verkehr scannen" aktiviert habe
    funktioniert auch der HTTPS-Traffic ohne zusätzlicher Firewall-Regel.

    Da jetzt der HTTPS-Scan aktiviert ist bekomme ich beim Aufruf von HTTPS-Seiten stets folgende Fehlermeldung:

    "Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

    Der WebBrowser sieht ja jetzt das Zertifikat der Astaro und sieht, dass der Name der Webseite nicht mit der Angabe im empfangenen Zertifikat übereinstimmt.

    Bekommt man HTTPS über den WebProxy auch ohne diese Fehlermeldung in den Griff?

    Ich denke es müsste ja ausreichen, wenn man das Zertifikat der Astaro in den eigenen WebBroswer importiert, oder?

    Nur, was macht man, wenn man in der Firma 40 Mitarbeiter-PCs und entsprechend viele WebBrowser hat?

    Gruß, Datax
Reply
  • 0
    Hallo GMF und GuyFawkes,

    mein Verständnis zum "Transparenten Proxy" war bisher so wie es GMF beschrieben hat.

    Wenn man den Proxy transparent betreibt werden automatisch iptables-Regeln erstellt,
    die den entsprechenden Traffic erlauben ( bezogen auf die "Zugelassenen Dienste" ).

    So geht die Astaro auch vor, wenn man beim Erstellen von IPSec-Tunnel die Option "Automatische Firewallregeln" aktiviert.

    Dann werden im Hintergrund auch iptables-Regeln erstellt, die "Any" zwischen den lokalen Netzen ( die im Tunnel konfiguriert sind ) und den Remote-Netzen erlauben.

    Diese Regeln werden aber nicht unter "Network Protection" -> "Firewall" angezeigt,
    dort sieht man nur selbst, also manuell angelegte Regeln.

    Bin gerade mal dem Hinweis von GMF nachgegangen:

    "Im transparenten Modus mit aktiviertem HTTPS-Scan wird HTTPS über den Proxy geleitet und geprüft."

    Ich habe festgestellt ( ist mir vorher nicht aufgefallen, da ich viele Seiten per HTTPS aufrufe ), dass HTTP auch ohne zusätzliche ( manuell angelegte ) Firewall-Regel funktioniert, also so wie es sein sollte.

    Jetzt, wo ich die Option "HTTPS-Verkehr scannen" aktiviert habe
    funktioniert auch der HTTPS-Traffic ohne zusätzlicher Firewall-Regel.

    Da jetzt der HTTPS-Scan aktiviert ist bekomme ich beim Aufruf von HTTPS-Seiten stets folgende Fehlermeldung:

    "Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

    Der WebBrowser sieht ja jetzt das Zertifikat der Astaro und sieht, dass der Name der Webseite nicht mit der Angabe im empfangenen Zertifikat übereinstimmt.

    Bekommt man HTTPS über den WebProxy auch ohne diese Fehlermeldung in den Griff?

    Ich denke es müsste ja ausreichen, wenn man das Zertifikat der Astaro in den eigenen WebBroswer importiert, oder?

    Nur, was macht man, wenn man in der Firma 40 Mitarbeiter-PCs und entsprechend viele WebBrowser hat?

    Gruß, Datax
Children
No Data
Cookie Information Banner