Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7988 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP / HTTPS nicht möglich über transparenten Proxy

Datax_87
Hallo Leute,

ich habe mal eine Frage zum WebProxy meiner Astaro ( UTM9.004-34, Software-Appliance ).

Ich habe den WebProxy im "Transparenten Modus" laufen, benutze keine Profile
und habe als "Allowed Network" mein internes Netz eingetragen, so dass der HTTP/S-Traffic dieses
Netzes ja eigentlich über den Proxy geleitet werden müsste.

Auf der Seite "Web Protection" -> "Webfilter" -> "Erweitert" sind auch HTTP sowie HTTPS als "Zugelassene Dienste" eingetragen, wenn ich jedoch über einen Rechner aus dem betreffenden internen Netz versuche Webseiten aufzurufen werden diese Anfragen durch die DefaultPolicy verworfen ( sehe ich im Firewall-LiveLog ).

Erst wenn ich manuell entsprechende Firewall-Regeln einrichte, die diesen Traffic erlauben funktioniert der Zugriff aufs Internet.

Ich dachte immer, dass es ausreicht den Proxy in den "Transparenten Modus" zu schalten,
das entsprechende Netz einzutragen ( Allowed Network ) und darauf zu achten,
dass HTTP/S in der Liste der zugelassenen Zieldienste eingetragen ist.

Habe ich da was falsch verstanden?

Gruß, Datax


This thread was automatically locked due to age.
  • 0
    Hallo Datax,
    willkommen im User BB.

    Kannst du bitte ein paar Screenshots der Proxy-Konfig anhängen?
    Wie sieht die Regel aus welche du erstellen musst?
  • 0 in reply to GMF
    Hi GMF,

    ich habe dir ein paar Screenshots angehängt.

    Die Firewall-Regel erlaubt den HTTP- und HTTPS-Traffic für das interne Netz.

    Die WebProxy-Einstellungen sind alle default, ich habe ausschließlich die "Allowed Networks" angepasst, entsprechend benutze ich auch keine Proxy-Profile ( siehe auch Screenshots ).

    Gruß, Datax
  • 0
    Wie sehen die anderen Konfigmöglichkeiten (Antivirus, URL-Filter, ...) aus?

    PS:
    Man kann auch bis zu 5 Anhänge an einen Post ankleben. ;-)
  • 0
    Also erstens wird aktuell nur HTTP Verkehr über den transparenten Proxy geleitet.
    Man kann mal aus Spaß nen https verwenden, dann funktioniert das ganze nicht mehr (kannst natürlich den Proxy im Browser des Clients eintragen).

    Ja, natürlich musst du die Firewall konfigurieren, denn zuerst wird die Firewall Liste abgearbeitet, danach erst der Proxy.
    Warum soll die UTM in ein Packet checken bzw. analysieren, obwohl das ganze Netz gar nicht surfen darf.

    Nice greetings
  • 0 in reply to GuyFawkes
    Also erstens wird aktuell nur HTTP Verkehr über den transparenten Proxy geleitet.
    Man kann mal aus Spaß nen https verwenden, dann funktioniert das ganze nicht mehr (kannst natürlich den Proxy im Browser des Clients eintragen).
    Falsch.
    Im transparenten Modus mit aktiviertem HTTPS-Scan wird HTTPS über den Proxy geleitet und geprüft.

    Ja, natürlich musst du die Firewall konfigurieren, denn zuerst wird die Firewall Liste abgearbeitet, danach erst der Proxy.
    Warum soll die UTM in ein Packet checken bzw. analysieren, obwohl das ganze Netz gar nicht surfen darf.

    Nice greetings
    Wieder Falsch.
    Man muss KEINE extra Firewallregel anlegen damit der Proxy an einer UTM funktioniert (so zumindest bei all den UTMs/ASGs die ich verwalte).
    Ebenso falsch ist die Aussage das die Firewallregeln vor dem Proxy angewendet werden. Die für den GUI-Benutzer unsichtbaren automatisch angelegten Regeln stehen immer vor den sichtbaren manuell angelegten Regeln (mit v9.1 soll die Sichtbarkeit IMHO geändert werden).
    iptables Chain AUTO_FORWARD, AUTO_INPUT und AUTO_OUTPUT stehen nun mal vor USR_FORWARD, USR_INPUT und USR_OUTPUT
  • 0 in reply to GMF

    Im transparenten Modus mit aktiviertem HTTPS-Scan wird HTTPS über den Proxy geleitet und geprüft.


    Das ist richtig, nur mit aktivierten HTTP-Scan.
    Auf dem Screenshot war der Haken nicht gesetzt, daher der Hinweis dazu.


    Wieder Falsch.
    Man muss KEINE extra Firewallregel anlegen damit der Proxy an einer UTM funktioniert (so zumindest bei all den UTMs/ASGs die ich verwalte).
    Ebenso falsch ist die Aussage das die Firewallregeln vor dem Proxy angewendet werden. Die für den GUI-Benutzer unsichtbaren automatisch angelegten Regeln stehen immer vor den sichtbaren manuell angelegten Regeln (mit v9.1 soll die Sichtbarkeit IMHO geändert werden).
    iptables Chain AUTO_FORWARD, AUTO_INPUT und AUTO_OUTPUT stehen nun mal vor USR_FORWARD, USR_INPUT und USR_OUTPUT


    im Übrigen hast du Recht!
    hab gerade mal die iptables geschaut und die sind hinter den automatisch generierten Regeln. Wenn Port HTTP bzw. wenn aktiv HTTPS nicht zutrifft, dann greifen die folgenden Regeln, die dann zutrifft.
    Danke für die Korrektur!

    Hier ist der Feature Request:
    WebAdmin: Display of Auto Packet Filter Rules

    Nice greetings
  • 0
    Hallo GMF und GuyFawkes,

    mein Verständnis zum "Transparenten Proxy" war bisher so wie es GMF beschrieben hat.

    Wenn man den Proxy transparent betreibt werden automatisch iptables-Regeln erstellt,
    die den entsprechenden Traffic erlauben ( bezogen auf die "Zugelassenen Dienste" ).

    So geht die Astaro auch vor, wenn man beim Erstellen von IPSec-Tunnel die Option "Automatische Firewallregeln" aktiviert.

    Dann werden im Hintergrund auch iptables-Regeln erstellt, die "Any" zwischen den lokalen Netzen ( die im Tunnel konfiguriert sind ) und den Remote-Netzen erlauben.

    Diese Regeln werden aber nicht unter "Network Protection" -> "Firewall" angezeigt,
    dort sieht man nur selbst, also manuell angelegte Regeln.

    Bin gerade mal dem Hinweis von GMF nachgegangen:

    "Im transparenten Modus mit aktiviertem HTTPS-Scan wird HTTPS über den Proxy geleitet und geprüft."

    Ich habe festgestellt ( ist mir vorher nicht aufgefallen, da ich viele Seiten per HTTPS aufrufe ), dass HTTP auch ohne zusätzliche ( manuell angelegte ) Firewall-Regel funktioniert, also so wie es sein sollte.

    Jetzt, wo ich die Option "HTTPS-Verkehr scannen" aktiviert habe
    funktioniert auch der HTTPS-Traffic ohne zusätzlicher Firewall-Regel.

    Da jetzt der HTTPS-Scan aktiviert ist bekomme ich beim Aufruf von HTTPS-Seiten stets folgende Fehlermeldung:

    "Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

    Der WebBrowser sieht ja jetzt das Zertifikat der Astaro und sieht, dass der Name der Webseite nicht mit der Angabe im empfangenen Zertifikat übereinstimmt.

    Bekommt man HTTPS über den WebProxy auch ohne diese Fehlermeldung in den Griff?

    Ich denke es müsste ja ausreichen, wenn man das Zertifikat der Astaro in den eigenen WebBroswer importiert, oder?

    Nur, was macht man, wenn man in der Firma 40 Mitarbeiter-PCs und entsprechend viele WebBrowser hat?

    Gruß, Datax
Cookie Information Banner