Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3787 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Using proxy without user setting changes

preet
All users from LAN gets NATed to access the internet but we need some users to use a proxy without changing any settings from client side.
So the internal users with private IP is using gateway as Astaro firewall and some kind of rule which forwards all http traffic to the proxy server which is running squid and is on a separate box.We are not using proxy service on the Astaro Gateway.
How can this be done?


This thread was automatically locked due to age.
  • 0
    Can't you just use a policy route?
  • 0
    I have defined the policy route but it does not work.
    The LAN User 10.0.0.10 using default gateway as 10.0.0.1

    Policy Route 

    Route Type: Gateway Route
    Source Interface :Internal (Connected to internal LAN) 10.0.0.1
    Source Network : LAN User IP 10.0.0.10 which need to go via proxy 
    Service : Http
    Destination Network : Any
    Gateway : Proxy Server 10.0.0.100 running internal within the LAN
  • 0
    I assume your proxy server has a direct connection to the internet - that it does not access the internet via the Astaro - correct?

    I think you need to have the proxy server on a different interface or VLAN so that it's in a separate, physical subnet.

    Cheers - Bob
  • 0
    No the proxy server does not have a direct connection to internet as it has one interface and uses NAT like all other PC within the LAN and gateway is the Astaro.

    Astaro Gateway------Proxy(gw 10.0.0.1)
                         |
                         |
                   LAN User(gw 10.0.0.1)

    Need http traffic for some of the LAN users to be diverted to proxy from Astaro instead of changing the browser settings on the client side.
  • 0
    The solution to your problem would probably be to use a DNAT rule, which forwards all port-80-traffic from these special internal users to the proxy.
    You have to use NAT, not (policy-)routing, as routing will only modify the layer 2 destination (MAC address) of the packet, but what you need is to change the layer 3 destination (destination address).
     
    However, best thing would be to use the Astaro http proxy which has this wunderfull "transparent proxy" feature which is doing exactly what you want.
  • 0
    Ahhh, but the problem is then that the DNAT also will capture the HTTP traffic from the proxy machine itself. [;)]

    I suppose you might be able to put another NAT rule ahead of yours: '[Proxy] -> HTTP ->  Internet : SNAT from External (Address)'.

    And, maybe another that gets the traffic back to the internal users.

    It would be a lot simpler to have the Proxy on a different interface. 

    Cheers - Bob
    PS Preet, the HTTP Proxy also works when you don't have a Web Security subscription.  You don't get anti-virus, but you do get proxying.
  • 0 in reply to BAlfson
    Ahhh, but the problem is then that the DNAT also will capture the HTTP traffic from the proxy machine itself. [;)]

     
    I don´t agree here, you just have to set up the DNAT rule correctly.
    like this:
    traffic source: 
    traffic service: http
    traffic destination: any (or "Internet")
    target: proxy server
    target service:   or 
    automatic packetfilter rule
     
    this wouldn´t influence anything else
  • 0
    Agreed if he has a small internal network, and a group of individual IPs is workable.  And "Internet" probably is clearer than "Any" even though both should work.  He might have an issue if he's using DHCP instead of fixed IPs on the workstations.  Too many potential glitches for my sensibilities though... [;)]

    I definitely like your suggestion that he should use the Astaro proxy in transparent mode!

    Cheers - Bob
  • 0
    Yes the transparent proxy works for Astaro without having a Web Security subscription but it is limited and we cannot do content filter.Also the packet filter does not work when we use the transparent proxy which comes with Astaro.
  • 0
    I tried to create a DNAT rule mentioned by Ölm but it does not accept any service for the field target service,it says configuration option invalid.I tried http,https,port 3128,Any everything but does not take any of these service.