Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 752 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setting Up ASG220 as a Transparent Proxy

Stum
Hi,

We currently have an inherited [:S] dans guardian/squid box which i want to replace with a ASG220. I have had a look around without luck for example setups and help with setting these up as a transparrent proxy.

I am basically wanting to have a link from a switch into eth0 which will then content filter all the web traffic and do its magic, before passing the traffic out of eth1 to the back of a cisco pix. [:S]

Im thinking that bridging might be part of the solution but not 100%

Any help/pointers appreciated.

StuM


This thread was automatically locked due to age.
  • 0
    Hi, Stu, and welcome to the User BB!

    A Pix?  I think I'd be trying to get rid of that old thing, too! [;)]

    It does sound like you want to bridge and put the Proxy into 'Full Transparent' mode.  The "Full" part preserves the IP of the client when passing packets to the Cisco.

    In a 'Transparent' mode, the Proxy handles only HTTP (and HTTPS if SSL scanning is selected) - none of the items in the 'Allowed target services' on the 'Advanced' tab are considered.  If you want the Proxy to handle those, it must be used in a 'Standard' mode.  If you have Active Directory, you might want to consider Standard with AD-SSO.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks for the reply bob, the pix replacement is in next years budget :-)

    I was working on this last week and ended up at a point where i lost access to our exchange server but i could browse.
    Even though i dont want to use the ASG as a firewall i still seem to need rules in such as Internal -> Any for DNS , Web Surfing and i tried Email Messaging but that still didn't allow the Outlook Client access.

    I am still trying to find some typical setup information as there is so much you can do with this box which i don't want.
  • 0
    Yes the UTM is, first, a firewall, and that means the default is to block everything.  As long as your Pix is providing the firewalling, you likely can get by with an 'Any -> Any -> Any : Allow' rule.

    When you move the 220 to the edge to replace the Pix, you'll want to undo the bridge to be able to put your public IPs on the External interface.  Replace the Any-Any-Any rule with one like 'Internal (Network) -> Any -> Any : Allow' (it's a "stateful" firewall).  Put the HTTP Proxy into normal 'Transparent mode' instead of 'Full'.  Add a Masquerading rule: 'Internal (Network) -> External'.

    Down the road, you'll want to tighten up your Firewall rules, getting rid of the 'Any -> Any'.  Also, consider the AD-SSO suggestion above.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks Bob, i will be starting a new thread with a new question shortly :-)
Cookie Information Banner