Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 7450 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multipath rule: how is considered proxied traffic?

eclipse79oldacct
Hello, 
I plan to use multipath rule. A (simple) question: how is considered proxied traffic coming from, for example, internal network? Can I setup Internal as source?

Thanks
eclipse79


This thread was automatically locked due to age.
  • 0
    Unlike in QoS, I don't think you can use "Internal (Network)" for traffic passing via the Web Proxy.  The traffic source can be "Uplink Interfaces", but most everyone uses "Any -> Web Surfing -> Any/Internet', I think. Then again, sometimes, no conosco i miei polli (thanks!). [;)]

    Cheers - Bob
    PS See da_merlin's comment below - traffic through the HTTP Proxy is an exception!
  • 0 in reply to BAlfson
    Then again, sometimes, no conosco i miei polli


    You're not fooling us Bob.  You know your Astaro chickens pretty damn well.  [;)]
  • 0 in reply to BAlfson
    Unlike in QoS, I don't think you can use "Internal (Network)" for traffic passing via the Web Proxy.  The traffic source can be "Uplink Interfaces", but most everyone uses "Any -> Web Surfing -> Any/Internet', I think. Then again, sometimes, no conosco i miei polli (thanks!). [;)]

    Cheers - Bob


    LOL [:)] Perhaps there is a misunderstanding in my italian phrase... "Conosco i miei polli" is normally realed to people... in my case my co-workers [[:P]] You say it when someone do something that shouldn't do... but you perfectly know WHO (i polli!) [[:P]]
  • 0 in reply to BAlfson
    Unlike in QoS, I don't think you can use "Internal (Network)" for traffic passing via the Web Proxy.  The traffic source can be "Uplink Interfaces", but most everyone uses "Any -> Web Surfing -> Any/Internet"


    Bob, in my case I doubt that "any" would solve my problem. Now I have an optic fiber connection with guaranteed bandwidth from my ISP. I would like to use it essentially from my Web Server and Mail Server in order to make sure that people that surf from internet to our web sites can run them fine. Then I plan to add a second ADSL line, in which the bandwidth is not guaranteed. I would like to use this second line for web traffic generated from Internal (standard proxied) http traffic and guest (transparent proxied) http traffic.
  • 0
    Proxy traffic is normally considered as local traffic, so the original client information is lost.
    However there is one exception: HTTP proxy

    The HTTP proxy tells the kernel for outgoing connection what the original client source IP address is.
    So you can have multipath rules for traffic going over the HTTP proxy based on client IP addresses.

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Proxy traffic is normally considered as local traffic, so the original client information is lost.
    However there is one exception: HTTP proxy

    The HTTP proxy tells the kernel for outgoing connection what the original client source IP address is.
    So you can have multipath rules for traffic going over the HTTP proxy based on client IP addresses.


    Thank you Ulrich. In this case there is something that is not very clear to me... if http proxied traffic is based on client ip address, why in the executive report I got the traffic counted on firewall ip address instead of ip clients addresses? I have v8.103.

    thanks
    eclipse79
  • 0
    The question was multipath rules, not executive report [;)]

    Yes, you get the firewall IP in the executive report. In the executive report there are TWO
    flows, one client->proxy and proxy->webserver.

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Proxy traffic is normally considered as local traffic, so the original client information is lost.
    However there is one exception: HTTP proxy

    The HTTP proxy tells the kernel for outgoing connection what the original client source IP address is.
    So you can have multipath rules for traffic going over the HTTP proxy based on client IP addresses.


    Ulrich, I'm a little confused. I have opened a ticket with the support, asking for info about multipath and proxied traffic.... but their reply it this one:

    for the multipath traffic to work with the proxied traffic the system will indeed need the external (address) referenced as a source for the internal traffic. As such a rule to send all web traffic out of the ADSL traffic would appear as:

    traffic source: any
    service: web services
    traffic destination: internet
    itf persistence: interface
    interface2 (ADSL)

    So it seems that I cannot use client ip addresses as source for http proxied traffic... [:S][:S]
  • 0
    I believe you should refer the Astaro Support engineer to this thread.  I believe the multipath rule as recommended is correct, but that the egineer will find that this new feature has been in place for quite awhile.

    Cheers - Bob
  • 0 in reply to BAlfson
    I believe you should refer the Astaro Support engineer to this thread.  I believe the multipath rule as recommended is correct, but that the egineer will find that this new feature has been in place for quite awhile.

    Cheers - Bob


    Interesting, every time I have had to deal with Proxy traffic I have used the Internal (Address) definition instead of External (Address). Are you sure this is correct?