Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 1185 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro blocks https connections... :(

mnv
Of course they are allowed by policy... and any https connections doesn't work at all. Like that:

14:44:44 Default DROP TCP 172.22.22.100:4936 193.110.106.202:443 [SYN] len=52 ttl=127 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:c0:26:2d:3a:3f
14:44:45 Default DROP TCP 172.22.22.100:4956 193.110.106.202:443 [SYN] len=52 ttl=127 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:c0:26:2d:3a:3f

Please point me where the problem could be...

Thanks a lot!


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Thanks for the trust and access!

    One of the standard packet filter rules configured by the Astaro Wizard at setup time is 'Internal (Network) -> Web Surfing -> Any : Allow'.  The 'Web Surfing' group includes HTTPS - I believe logging this rule would show that that is how HTTPS is getting through.

    Cheers - Bob


    Hm...

    So if I block HTTPS inside of this group, I'll not be able to use HTTPS w/o "Scan HTTPS traffic" selected?

    If yes, then... then we've kinda misunderstanding [[[:)]]].

    I mean if the Astaro Wizard creates such a group and such a rule in this group, there is a conflict between this group/rule and the "Scan HTTPS traffic" checkbox.

    Other words, if I select "Scan HTTPS traffic", this wizard-based group/rule won't work for HTTPS. Or even HTTPS should be disabled by default... and we can enable it by selecting "Scan HTTPS traffic" only.

    As I see, if Astaro Wizard allows HTTPS by default, this "Scan HTTPS traffic" checkbox is just useless.

    In order to be useful, Astaro should check out HTTPS traffic this way:
    1. If "Scan HTTPS traffic" selected, it "depacketize" this traffic and looks inside - are there any malware?
    2. If Astaro is not forced to check HTTPS for malware, it allows or denys it regarding to the rules in Wizard-based group.

    Actually, it works exactly this way. And this is the right way, imho.

    So, may I ask: why you (and somebody else, don't remember) told me, that if "Scan HTTPS traffic" is not selected, Astaro will not passthrough HTTPS? [[[:)]]]

    I think, the way it already done - this is the right way, and the way when Astaro block HTTPS on the "Scan HTTPS traffic" basis - this is wrong way.

    [[[:)]]]

    What say?
  • 0
    The setup wizard for Astaro could be a little more sophisticated.  As it is, it assumes that the user will want normal email and web connectivity and may not set up any proxies.  The extended KnowledgeBase documentation on setting up the proxies should each discuss which packet filter rules could be turned off.

    The "trick" to understanding much of this is to think of each packet as being allowed into the Astaro once - once it is selected for a rule, no further such rules are evaluated.  Packet filter rules implicit in proxies, DNATs and VPNs are considered before the explicit rules in the Packet Filter list.  If an HTTPS packet is allowed through by the HTTP/S Proxy, the rules in the Packet Filter list are never considered.

    If the HTTP/S Proxy is in a transparent mode, and the HTTPS box is not checked, HTTPS packets will not qualify for the implicit packet filter rule of the Proxy.  In this case, if there's an explicit HTTPS allow rule in the list of Packet Filter rules, the packet will be selected by it and allowed through.

    If the HTTP/S Proxy is running in a non-transparent mode, the clients' browsers must be configured to aim at the Astaro proxy.  In this case, the Proxy will handle all of the 'Allowed target services' listed on the 'Advanced' tab.  If 'HTTPS' is not checked on the 'Global' tab, HTTPS traffic still will be handled by the Proxy, but it won't be scanned by the AV engine.

    Is that clearer?

    Cheers - Bob
  • 0 in reply to BAlfson
    The setup wizard for Astaro could be a little more sophisticated.  As it is, it assumes that the user will want normal email and web connectivity and may not set up any proxies.  The extended KnowledgeBase documentation on setting up the proxies should each discuss which packet filter rules could be turned off.

    The "trick" to understanding much of this is to think of each packet as being allowed into the Astaro once - once it is selected for a rule, no further such rules are evaluated.  Packet filter rules implicit in proxies, DNATs and VPNs are considered before the explicit rules in the Packet Filter list.  If an HTTPS packet is allowed through by the HTTP/S Proxy, the rules in the Packet Filter list are never considered.

    If the HTTP/S Proxy is in a transparent mode, and the HTTPS box is not checked, HTTPS packets will not qualify for the implicit packet filter rule of the Proxy.  In this case, if there's an explicit HTTPS allow rule in the list of Packet Filter rules, the packet will be selected by it and allowed through.

    If the HTTP/S Proxy is running in a non-transparent mode, the clients' browsers must be configured to aim at the Astaro proxy.  In this case, the Proxy will handle all of the 'Allowed target services' listed on the 'Advanced' tab.  If 'HTTPS' is not checked on the 'Global' tab, HTTPS traffic still will be handled by the Proxy, but it won't be scanned by the AV engine.

    Is that clearer?

    Cheers - Bob


    Yes - much more! [:)]

    Thanks!