Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 1181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro blocks https connections... :(

mnv
Of course they are allowed by policy... and any https connections doesn't work at all. Like that:

14:44:44 Default DROP TCP 172.22.22.100:4936 193.110.106.202:443 [SYN] len=52 ttl=127 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:c0:26:2d:3a:3f
14:44:45 Default DROP TCP 172.22.22.100:4956 193.110.106.202:443 [SYN] len=52 ttl=127 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:c0:26:2d:3a:3f

Please point me where the problem could be...

Thanks a lot!


This thread was automatically locked due to age.
Parents
  • 0
    The setup wizard for Astaro could be a little more sophisticated.  As it is, it assumes that the user will want normal email and web connectivity and may not set up any proxies.  The extended KnowledgeBase documentation on setting up the proxies should each discuss which packet filter rules could be turned off.

    The "trick" to understanding much of this is to think of each packet as being allowed into the Astaro once - once it is selected for a rule, no further such rules are evaluated.  Packet filter rules implicit in proxies, DNATs and VPNs are considered before the explicit rules in the Packet Filter list.  If an HTTPS packet is allowed through by the HTTP/S Proxy, the rules in the Packet Filter list are never considered.

    If the HTTP/S Proxy is in a transparent mode, and the HTTPS box is not checked, HTTPS packets will not qualify for the implicit packet filter rule of the Proxy.  In this case, if there's an explicit HTTPS allow rule in the list of Packet Filter rules, the packet will be selected by it and allowed through.

    If the HTTP/S Proxy is running in a non-transparent mode, the clients' browsers must be configured to aim at the Astaro proxy.  In this case, the Proxy will handle all of the 'Allowed target services' listed on the 'Advanced' tab.  If 'HTTPS' is not checked on the 'Global' tab, HTTPS traffic still will be handled by the Proxy, but it won't be scanned by the AV engine.

    Is that clearer?

    Cheers - Bob
  • 0 in reply to BAlfson
    The setup wizard for Astaro could be a little more sophisticated.  As it is, it assumes that the user will want normal email and web connectivity and may not set up any proxies.  The extended KnowledgeBase documentation on setting up the proxies should each discuss which packet filter rules could be turned off.

    The "trick" to understanding much of this is to think of each packet as being allowed into the Astaro once - once it is selected for a rule, no further such rules are evaluated.  Packet filter rules implicit in proxies, DNATs and VPNs are considered before the explicit rules in the Packet Filter list.  If an HTTPS packet is allowed through by the HTTP/S Proxy, the rules in the Packet Filter list are never considered.

    If the HTTP/S Proxy is in a transparent mode, and the HTTPS box is not checked, HTTPS packets will not qualify for the implicit packet filter rule of the Proxy.  In this case, if there's an explicit HTTPS allow rule in the list of Packet Filter rules, the packet will be selected by it and allowed through.

    If the HTTP/S Proxy is running in a non-transparent mode, the clients' browsers must be configured to aim at the Astaro proxy.  In this case, the Proxy will handle all of the 'Allowed target services' listed on the 'Advanced' tab.  If 'HTTPS' is not checked on the 'Global' tab, HTTPS traffic still will be handled by the Proxy, but it won't be scanned by the AV engine.

    Is that clearer?

    Cheers - Bob


    Yes - much more! [:)]

    Thanks!
Reply
  • 0 in reply to BAlfson
    The setup wizard for Astaro could be a little more sophisticated.  As it is, it assumes that the user will want normal email and web connectivity and may not set up any proxies.  The extended KnowledgeBase documentation on setting up the proxies should each discuss which packet filter rules could be turned off.

    The "trick" to understanding much of this is to think of each packet as being allowed into the Astaro once - once it is selected for a rule, no further such rules are evaluated.  Packet filter rules implicit in proxies, DNATs and VPNs are considered before the explicit rules in the Packet Filter list.  If an HTTPS packet is allowed through by the HTTP/S Proxy, the rules in the Packet Filter list are never considered.

    If the HTTP/S Proxy is in a transparent mode, and the HTTPS box is not checked, HTTPS packets will not qualify for the implicit packet filter rule of the Proxy.  In this case, if there's an explicit HTTPS allow rule in the list of Packet Filter rules, the packet will be selected by it and allowed through.

    If the HTTP/S Proxy is running in a non-transparent mode, the clients' browsers must be configured to aim at the Astaro proxy.  In this case, the Proxy will handle all of the 'Allowed target services' listed on the 'Advanced' tab.  If 'HTTPS' is not checked on the 'Global' tab, HTTPS traffic still will be handled by the Proxy, but it won't be scanned by the AV engine.

    Is that clearer?

    Cheers - Bob


    Yes - much more! [:)]

    Thanks!
Children
No Data