9.1 Disables port 80 use for HTTP Proxy

Bryan, what did you see that made you draw this conclusion?

Cheers - Bob

I was using port 80 and after the upgrade it wouldn't let me change the exception rules. It gave me an error so I opened a ticket up with support and they informed me that it was no longer possible to use port 80 and said it only let me use it previously because it was a bug. I stopped getting the error after i changed the port.

Maybe I'm being thick-headed, but I still don't understand what setting you're talking about.

Cheers - Bob

Bob, under the Advanced tab of the HTTP/S Proxy, there is a spot to set what port the proxy listens on when using Standard or SSO Mode.  The default for this is port 8080; for some reason, some folks need to change this (different reasons)... port 80 has never been a good idea for this setting, but nonetheless it's used in some implementations.   Astaro/Sophos has, on and off, enabled / disabled the ability to set this to port 80... port 80 has "officially" been unsupported for quite some time (I think way back in Version 7, maybe it was version 8).  Apparently a bug in the parsing for this field has been allowing admins to set it to port 80 when it shouldn't be... although everything (well, almost everything) still works.

Best course of action is to go back to the default port (8080) and adjust group policy / wpad/ pac files to reflect that change.

Many implementations use port 80 because that is what is required if you use DNS for WPAD. If you set a static IP on a device then it's only option is manual configuration of WPAD or DNS. If you have a non-windows machine then group policy is not an option and I personally do not want to manage manual configurations on hundreds of machines. I don't understand why people think port 8080 is any better than port 80. A port is a port and both are well known.

With them disabling port 80 for whatever reason it now requires that I setup HTTP servers (redundancy) to serve just WPAD files when I already have a redundant firewall in place.

Bryan

OK - I see now - I read right past the DNS part of the question.

An idea for a work-around: put an additional IP named "WPAD" on the Internal interface and have that be the address for WPAD in DNS.  Make a NAT rule:

DNAT : Any -> HTTP -> Internal [WPAD] (Address) : Internal (Address) HTTP Proxy : Auto firewall rules

Any luck with that?

Cheers - Bob
PS I'd be interested to know if this works if the destination is not changed.

Actually you can skip the additional IP and do it for the internal interface but I'm still curious why they restrict port 80 since I don't know of anything else that uses it.

Bryan

You can use the UTM itself to distribute PAC/WPAD configurations, if that helps you any.  I am also not aware of any bug related to using WPAD and other proxy ports.

Yes, you just can't use port 80 which means the DNS method of WPAD distribution can't be used. So you either have to create your own web server or try the dnat rule or manually configure it.

If you can create a dnat rule for port 80 then why not just allow the use of port 80 as well?

The logic confuses me...

Bryan, you're right, the DNAT could be done without the additional address.  The reason it makes a difference is because of what I call Rule #2:

In general, a packet arriving at an interface is handled only by one of the following, in order:
DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.

That is, the DNAT changes the port before the proxy gets a look at the packet.

Cheers - Bob