Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 2945 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

question about http proxy

blueorder
when using http proxy is it necessary to block regular http traffic via a packet filter rule?  if a deny rule like this is not implemented and a rule like "Internal_Netwrok_ Any Any Allow" is used (rule I use) will the traffic bypass the proxy eventhough I would be using standard proxy and would enter proxy address and port in browser (IE)?

thanks, 


This thread was automatically locked due to age.
  • 0
    The proxy should let all traffic through. You should not have to add packet rules. If you use V5: See lots of messages on this board about the not working http proxy in this version  [:(]  
  • 0 in reply to Rick_01
    thanks rick for the reply...but it's not what I mean kinda....I guess what I'm asking is how can I make sure the traffic is going through the HTTP proxy?

    Rick I read your previous post about http proxy on v5 and having to create a rule for allowing http traffic because HTTP Proxy wasn't working.  This is what I want to avoid.  Right now, I have a rule for "Internal_Network_ Any Any Allow".

    thanks, 
  • 0 in reply to blueorder
    To make sure that all the web browsing goes through the Squid proxy, you can enable transparent proxy. However, that could cause problems for https connections. Another approach is to leave transparent proxy off, but blocking any traffic through port 80. You can do this as follows:

    Internal_Network_ HTTP Any Drop
    Internal_Network_ Any Any Allow

    Note that the HTTP drop rule must be processed before your catch all Any Any Allow rule.   
  • 0 in reply to VelvetFog
    [ QUOTE ]
    To make sure that all the web browsing goes through the Squid proxy, you can enable transparent proxy. However, that could cause problems for https connections. Another approach is to leave transparent proxy off, but blocking any traffic through port 80. You can do this as follows:

    Internal_Network_ HTTP Any Drop
    Internal_Network_ Any Any Allow

    Note that the HTTP drop rule must be processed before your catch all Any Any Allow rule.    

    [/ QUOTE ]

    tried that...using standard http proxy and then setup the packet filter rules like you mentioned by first dropping http and then allow any...no go...can't surf to any address
  • 0 in reply to VelvetFog
    [ QUOTE ]
    To make sure that all the web browsing goes through the Squid proxy, you can enable transparent proxy. However, that could cause problems for https connections. Another approach is to leave transparent proxy off, but blocking any traffic through port 80. You can do this as follows:

    Internal_Network_ HTTP Any Drop
    Internal_Network_ Any Any Allow

    Note that the HTTP drop rule must be processed before your catch all Any Any Allow rule.    

    [/ QUOTE ]
    INteresting..i have not had any https issues with the v4 proxy..nor the v5 proxy..i simply put http, ftp, https(among others) in the allowed services area and it worked fine.  I am not saying this bug does not exist in 5(the number of posts say it does) jsut interesting i have ot run into this particular bug..[:)] 
  • 0 in reply to William Warren
    When I first configured my ASL v4 box, in the help file (question mark icon) on the HTTP Proxy page, I found this:

    [ QUOTE ]
    In Transparent mode, the proxy will handle all traffic passing the firewall on port 80. In this mode, the clients do not need to enter the proxy in their browser configuration. Please note that the proxy cannot handle FTP and HTTPS (secure) requests in this mode. If your clients want to access such services, you must open the respective ports (21 and 443) in the packet filter.

    [/ QUOTE ]So I have never bothered with running the Squid web proxy in transparent mode.    
  • 0 in reply to VelvetFog
    Velvet,

    So Im guessing you are running your proxy in standard mode...

    if so, what packet filter rules are you using for outgoing traffic from internal network to outside/proxy?  are you using "I_N_ Any Any Allow"?  are you dropping http traffic?

    or maybe I'm thinking about this wrong.  if I have http proxy enabled I shouldn't need any packet filter rules as the proxy would handle this automatically if the proxy settings are defined in the browser/IM client/etc...?
     
  • 0 in reply to blueorder
    In my packet filter rules, I first drop a lot of stuff, mostly netbios, then I do the basic open access rule:

    Internal_Network Any Any Allow.

    I browse the web via the port 8080 Squid proxy for the most part, but I don't try to enforce that on my ASL box.   
  • 0 in reply to VelvetFog
    [ QUOTE ]
    When I first configured my ASL v4 box, in the help file (question mark icon) on the HTTP Proxy page, I found this:

    [ QUOTE ]
    In Transparent mode, the proxy will handle all traffic passing the firewall on port 80. In this mode, the clients do not need to enter the proxy in their browser configuration. Please note that the proxy cannot handle FTP and HTTPS (secure) requests in this mode. If your clients want to access such services, you must open the respective ports (21 and 443) in the packet filter.

    [/ QUOTE ]So I have never bothered with running the Squid web proxy in transparent mode.     

    [/ QUOTE ]
    My packet filter rules are client based(static dhcp based on MAC addresses with those workstations defined in network definitions).  So i get around having to specify individual protocols in the packet filter.  Basically if you are not in my network defs and therefore not in my packet filter rules you go nowhere.  I should have specified that when i talked about the transparent proxy.  Veovetfrog you are absolutly correct..[:)]
     
  • 0 in reply to William Warren
    [ QUOTE ]
    Veovetfrog you are absolutly correct..[:)]

    [/ QUOTE ] That's nice to hear.

    But no one has ever called me "Veovetfrog" before.