Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 54262 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

block internet for specific internal IP addresses

wyocowboy
I am using transparent HTTP proxy on ASG 7.505 in a production/commercial setting and am trying to block certain internal computers from getting to the internet for ftp, http, etc. These machines have static IP addresses within the ASG internal network subnet, but are in a lab environment and must be blocked from all internet traffic. 

I tried a packet filter at the top of the list with the specific IP address of one computer = source, service = any, dest = external WAN network, but it is still able to get to web sites. 

What am I doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    When you uncheck 'allow HTTP traffic for listed hosts/nets', the packet filter rule list is consulted.  If you explicitly allow the traffic with a PF rule, it passes, if not, it doesn't.  Since, as Jack correctly foresaw, you have a general allo rule, you will need the corrected drop rule as Jack recommended.

    Cheers - Bob
  • 0 in reply to BAlfson
    When I first deployed this system, the skip list was disabled and it was running with just the general HTTP PF rule and transparent proxy. We have a high powered consultant that comes every few months that uses Fusemail and Mailanyone.net for email and these would not work through ASG for some reason - timeouts, failure to display the web pages. We also have a few other websites that are needed by internal employees that had similar issues. I tried using PF rules to address the problem, which of course did not work. I was advised by ASG tech support to enable and use the skip list and that solved the problem. They said that 'some websites just don't work through the proxy, and we don't know why.'

    So, if I reverse the sense of the skip list as you are advising, how do I get these websites to work through ASG when I already have a 'permit all' HTTP rule?
  • 0 in reply to wyocowboy
    I tried your suggestions  and while it does now block the static IP from getting to the internet, I am back to the original problem that cause me to use the skip list to bypass the transparent proxy. When trying to go to one of the problem websites (no longer in the skip list), I get a page with the Astaro banner on it that says:

    An error occurred while handling your request
    While trying to retrieve the URL:  Wyoming Department of Workforce Services
    Error message:  Connection to server timed out
  • 0 in reply to wyocowboy
    Because of the issue where certain websites will not work through the transparent HTTP proxy, I had to go back to enabling the skip list and putting my 9 websites back in. There seems to be an implementation error here - if the order of precedence is DNATs, Proxies, Packet Filters and Static Routes, and SNATs, then putting something into the HTTP proxy skip list should cause it to then fall through to the packet filter, but doing so in fact also bypasses the packet filter.

    Do any of the Astaro developers monitor this forum, or should I submit a request directly to Astaro?

    In the meantime, since there were just a handful of machines, I edited the hosts file on each to disable web browsing.
  • 0 in reply to wyocowboy
    Putting the sites to be allowed in the skiplist, and creating packetfilter rules allowing access to those sites will work, we do it all the time.  There may be an issue with the sequence of of rules.

    The key is you need PF rules allowing the problem sites, and rules blocking the ones you want to block- and getting the sequence right.

    And yes, there are plenty of us from Astaro here, (including some of the developers).
  • 0 in reply to Jack Daniel
    Once I put the problematic web sites in the skip list, they work with the general PF HTTP rule that was created by the installation wizard, so I have not added any PF rules specific to those. I don't want to block some sites for the lab computer, I want to block all sites.

    The rule that was intended to block the lab computer from the internet was put above all other rules, at position 1. 

    Based on the precedence (DNATs, Proxies, Packet Filters and Static Routes, SNATs) if I put the IP address of the lab computer in the skip list and the list is checked, then I would expect it to bypass the transparent HTTP proxy and then hit the PF rule that I have at the top of the list, but it seems to bypass it.

    This rule is set up as: 

    position 1
    source = (static IP of lab computer)
    service = any
    destination = internet
    action = drop
  • 0 in reply to wyocowboy
    if I put the IP address of the lab computer in the skip list and the list is checked,

    That confuses me a bit.  The checkbox for the skip list should not be used - that will caused your packet filter rules to not be considered.  Once you get this to work, you'll see that it was easier than you imagined.

    After your drop rule, you need an allow rule for the sites you wwant to allow, but that should be there already from the original installation.

    Cheers - Bob
  • 0 in reply to BAlfson
    That is precisely the issue. In my environment, I cannot operate with the checkbox unchecked because this causes the 9 websites to stop working through the ASG transparent HTTP proxy. I am using it at the suggestion of ASG tech support.

    My point about precedence is that if it really does work like you say (DNATs, Proxies, Packet Filters and Static Routes, SNATs) skipping the HTTP proxy should cause it to then go to the packet filter, but it doesn't. It is acting as though it has satisfied a rule and does not need to consider any others.

    Based on my past experience doing system QA conformance, regression, and peneration testing on routers and other such networking equipment for Nortel and others I would consider this a design flaw. Skipping one layer in the precedence should not cause it to skip subsequent layers. In this case, skipping the transparent proxy appears to completely disable any subsequent security on that traffic.

    The bottom line for me is that because these 9 websites will not work through the HTTP transparent proxy, I cannot use your suggestions to block the lab computers from the internet.
Reply
  • 0 in reply to BAlfson
    That is precisely the issue. In my environment, I cannot operate with the checkbox unchecked because this causes the 9 websites to stop working through the ASG transparent HTTP proxy. I am using it at the suggestion of ASG tech support.

    My point about precedence is that if it really does work like you say (DNATs, Proxies, Packet Filters and Static Routes, SNATs) skipping the HTTP proxy should cause it to then go to the packet filter, but it doesn't. It is acting as though it has satisfied a rule and does not need to consider any others.

    Based on my past experience doing system QA conformance, regression, and peneration testing on routers and other such networking equipment for Nortel and others I would consider this a design flaw. Skipping one layer in the precedence should not cause it to skip subsequent layers. In this case, skipping the transparent proxy appears to completely disable any subsequent security on that traffic.

    The bottom line for me is that because these 9 websites will not work through the HTTP transparent proxy, I cannot use your suggestions to block the lab computers from the internet.
Children
No Data