Default drop altough packet filter allowance

Why not just filter ads with the Astaro Web proxy?  Seems a lot cleaner than running stacked proxies.

As far as the traffic, the Privoxy is sending resets to the Astaro, apparently rejecting some connection requests coming from the ASG to the Privoxy.

I haven't really used the builtin content filter. Though I'd prefer this as a last resort because I really love Privoxy :-)

But for testing's sake I tried: It appears I can't even turn off the parent proxy function (see Conflicting data types for specified node.gif).

And I also can't save the transparent mode skiplist (syntactically or logically incorrect.jpg).

Have you tried the two entries in the skiplist individually to see which is the problem?  Do those hosts resolve to good IPs? (hover your mouse over them to see if the ASG has IPs)

Not sure about the other issue.  Is there anything in the Privoxy log which would explain why it is rejecting traffic from the Astaro?  The Astaro is just dropping RSTs from the Privoxy.

Yes, all entries resolve to good ips. I've even removed all entries from that list and tried to save, same result (see screenshot).

I'm afraid I couldn't get anything from the privoxy logs. They're empty. I'm sure there's some debug setting I haven't found, yet. But I'm searching on.

At least when I deactivate the privoxy daemon the packets stop. At least Astaro isn't showing them anymore. Privoxy still is (with tcpdump):

18:23:27.932636 IP 192.168.198.6.8118 > 192.168.198.1.35481: R 0:0(0) ack 2042374927 win 0

18:23:27.932793 IP 192.168.198.6.8118 > 192.168.198.1.35482: R 0:0(0) ack 2047682510 win 0

18:23:27.946321 IP 192.168.198.6.8118 > 192.168.198.1.35483: R 0:0(0) ack 2038663306 win 0

18:23:27.946621 IP 192.168.198.6.8118 > 192.168.198.1.35484: R 0:0(0) ack 2035289453 win 0

18:23:27.946795 IP 192.168.198.6.8118 > 192.168.198.1.35485: R 0:0(0) ack 2034463975 win 0

18:23:27.947102 IP 192.168.198.6.8118 > 192.168.198.1.35486: R 0:0(0) ack 2045768600 win 0

18:23:28.236301 IP 192.168.198.6.8118 > 192.168.198.1.35487: R 0:0(0) ack 2035775769 win 0

18:23:28.237655 IP 192.168.198.6.8118 > 192.168.198.1.35488: R 0:0(0) ack 2042907338 win 0

18:23:28.250592 IP 192.168.198.6.8118 > 192.168.198.1.35489: R 0:0(0) ack 2040820248 win 0

18:23:28.251618 IP 192.168.198.6.8118 > 192.168.198.1.35490: R 0:0(0) ack 2033146638 win 0

18:23:28.253820 IP 192.168.198.6.8118 > 192.168.198.1.35491: R 0:0(0) ack 2037183231 win 0

18:23:28.254035 IP 192.168.198.6.8118 > 192.168.198.1.35492: R 0:0(0) ack 2034837668 win 0

18:23:28.575271 IP 192.168.198.6.8118 > 192.168.198.1.35493: R 0:0(0) ack 2040412922 win 0

18:23:28.575875 IP 192.168.198.6.8118 > 192.168.198.1.35494: R 0:0(0) ack 2034100275 win 0

18:23:28.576369 IP 192.168.198.6.8118 > 192.168.198.1.35495: R 0:0(0) ack 2037268212 win 0

18:23:28.913798 IP 192.168.198.6.8118 > 192.168.198.1.35496: R 0:0(0) ack 2049198084 win 0

18:23:28.914130 IP 192.168.198.6.8118 > 192.168.198.1.35497: R 0:0(0) ack 2048195162 win 0

18:23:28.914292 IP 192.168.198.6.8118 > 192.168.198.1.35498: R 0:0(0) ack 2047432158 win 0

18:26:47.678456 IP 192.168.198.6.8118 > 192.168.198.1.32892: R 0:0(0) ack 2257683635 win 0

18:26:47.681862 IP 192.168.198.6.8118 > 192.168.198.1.32893: R 0:0(0) ack 2251241835 win 0

18:28:58.437428 IP 192.168.198.6.8118 > 192.168.198.1.32894: R 0:0(0) ack 2396060420 win 0

18:28:58.439709 IP 192.168.198.6.8118 > 192.168.198.1.32895: R 0:0(0) ack 2380735017 win 0

18:28:58.444734 IP 192.168.198.6.8118 > 192.168.198.1.32896: R 0:0(0) ack 2389446311 win 0

18:28:58.449601 IP 192.168.198.6.8118 > 192.168.198.1.32897: R 0:0(0) ack 2388299259 win 0

18:28:58.455086 IP 192.168.198.6.8118 > 192.168.198.1.32898: R 0:0(0) ack 2393232775 win 0

18:28:58.457991 IP 192.168.198.6.8118 > 192.168.198.1.32899: R 0:0(0) ack 2385894547 win 0

18:28:58.461686 IP 192.168.198.6.8118 > 192.168.198.1.32900: R 0:0(0) ack 2394062417 win 0

18:28:58.465149 IP 192.168.198.6.8118 > 192.168.198.1.32901: R 0:0(0) ack 2380261466 win 0

18:28:58.472305 IP 192.168.198.6.8118 > 192.168.198.1.32902: R 0:0(0) ack 2379761074 win 0

18:28:58.475167 IP 192.168.198.6.8118 > 192.168.198.1.32903: R 0:0(0) ack 2387596610 win 0

18:36:47.731597 IP 192.168.198.6.8118 > 192.168.198.1.57621: R 0:0(0) ack 2882297325 win 0

18:36:47.732561 IP 192.168.198.6.8118 > 192.168.198.1.57622: R 0:0(0) ack 2882418825 win 0

18:38:58.422375 IP 192.168.198.6.8118 > 192.168.198.1.57624: R 0:0(0) ack 3019230022 win 0

18:38:58.425682 IP 192.168.198.6.8118 > 192.168.198.1.57625: R 0:0(0) ack 3016889673 win 0

18:38:58.430935 IP 192.168.198.6.8118 > 192.168.198.1.57626: R 0:0(0) ack 3019914210 win 0

18:38:58.433756 IP 192.168.198.6.8118 > 192.168.198.1.57627: R 0:0(0) ack 3019227003 win 0

18:38:58.448826 IP 192.168.198.6.8118 > 192.168.198.1.57628: R 0:0(0) ack 3022146622 win 0

18:38:58.454252 IP 192.168.198.6.8118 > 192.168.198.1.57629: R 0:0(0) ack 3029563210 win 0

18:38:58.461703 IP 192.168.198.6.8118 > 192.168.198.1.57630: R 0:0(0) ack 3023706629 win 0

18:38:58.469967 IP 192.168.198.6.8118 > 192.168.198.1.57631: R 0:0(0) ack 3027842494 win 0

18:38:58.478723 IP 192.168.198.6.8118 > 192.168.198.1.57632: R 0:0(0) ack 3026319095 win 0

18:38:58.487174 IP 192.168.198.6.8118 > 192.168.198.1.57633: R 0:0(0) ack 3016590213 win 0

I guess those are the desperate requests from Astaro to get something from its parent proxy.

Anyway I'd very much like to be able to configure Astaro again :-)

There must be something on the advanced tab (or possibly elsewhere in the config) that the Astaro doesn't like.  Can you (or have you) tried removing or disabling other objects/entries on the Advanced tab?

There may also be something in the system, kernel, configuration or maybe fallback log which would give a hint what is happening.

Brainscanner, I think this is a problem on the box running Privoxy.  For some reason, it's configured to send traffic "to" (not "through") the Astaro's internal interface.  Instead of showing us the lines from the live log, please show the same lines from the full log.  I bet we'll see in there that the default drop is from an INPUT chain*.  So I'm gonna guess that you have Privoxy pointing to the Astaro as an upstream proxy and that the issue we're seeing here is that both proxies think the other is upstream.  Since the Astaro is the one connected to the Internet, I suspect that you can just remove the reference to an upstream proxy, change the proxy port to 8118 and have browsers point at Privoxy for proxying.

But, that's a bunch of guessing.  The real answer is Jack's suggestion to dump Privoxy - you'll be amazed at how easy and powerful the Astaro Proxy is.

Cheers - Bob
* Here's a summary of how traffic flows through the Astaro.  "Regular" packet filter rules apply to traffic flowing through the Astaro, so yours didn't apply to traffic with a destination of the Astaro. If the Astaro hadn't dropped those packets, they would have been lost because it wasn't configured to handle them.  So, it doesn't really make sense to write an Allow rule for an interface.  If you wanted to silently drop those packets so they didn't appear in your log, you could create a rule: 'Privoxy -> Any -> Internal (Address) : Drop'.  Note the difference between a Host/Network definition and the interface object "Internal (Address)".

There must be something on the advanced tab (or possibly elsewhere in the config) that the Astaro doesn't like.  Can you (or have you) tried removing or disabling other objects/entries on the Advanced tab?

I've made screenshots of the whole Advanced tab. The transparent mode skip list isn't empty, but the screens reflect the moment when I tried to save.
Btw: I also get the ...syntactically not correct... error message when I try to save the "Misc Settings" part.

Shouldn't the part where anything's wrong flash red?

There may also be something in the system, kernel, configuration or maybe fallback log which would give a hint what is happening.

I've checked the logs, but couldn't find anything that may tell something about why Astaro is refusing to save my configuration. Neither about the deactivation of the proxy nor about the transparent mode skip list. But I noticed that the configuration log is continously filling with entries like the following (the ip is the one of my current workstation from which I'm access Astaro's configuration page). Is that normal?

Live Log: Configuration daemon		Filter:	

		Autoscroll



2010:06:26-23:35:31 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="freeze" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:31 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="thaw" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:31 astaro confd[26259]: id="3108" severity="info" sys="System" sub="confd" name="reloading storage" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" version="56" storage="/cfg" 

2010:06:26-23:35:31 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="freeze" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:31 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="thaw" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:32 astaro confd[26259]: id="3108" severity="info" sys="System" sub="confd" name="reloading storage" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" version="56" storage="/cfg" 

2010:06:26-23:35:32 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="freeze" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:32 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="thaw" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:33 astaro confd[26259]: id="3108" severity="info" sys="System" sub="confd" name="reloading storage" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" version="56" storage="/cfg" 

2010:06:26-23:35:33 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="freeze" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:33 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="thaw" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:33 astaro confd[26259]: id="3108" severity="info" sys="System" sub="confd" name="reloading storage" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" version="56" storage="/cfg" 

2010:06:26-23:35:33 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="freeze" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:33 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="thaw" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:34 astaro confd[26259]: id="3108" severity="info" sys="System" sub="confd" name="reloading storage" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" version="56" storage="/cfg" 

2010:06:26-23:35:34 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="freeze" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11" 

2010:06:26-23:35:34 astaro confd[26259]: id="3100" severity="info" sys="System" sub="confd" name="thaw" client="index.plx" facility="webadmin" user="admin" srcip="192.168.198.11"

But, that's a bunch of guessing.  The real answer is Jack's suggestion to dump Privoxy - you'll be amazed at how easy and powerful the Astaro Proxy is.

If it really is as good as you say I'll give it try (as soon as I can disable the parent proxy of course :-)).

Hi both of you,

I just solved the saving-my-configuration-issue. I did what's described in the very last post of this thread: https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44486

Now I'm experimenting with Astaro's filter. My initial approach would be to block everything I'd possibly consider unwanted and make some exceptions in other rules later. But it doesn't seem to block anything.
I've even entered some sites in the "Additional URLs/sites to block" block. But I can still visit these sites.

What am I doing wrong? Is there some kind of the test url I can go to that says "Yes, you are using Astaro's proxy"?
Privoxy's got such a url ;-)

Good job on finding that - a wierd error in the HTTP Proxy as Jack suggested.

My suggestion was to change image 2 to have 8118 in 'HTTP Proxy Port' and to NOT use a Parent Proxy in Astaro, but, hopefully, you will not need to worry about Privoxy.

There's an HTTP Live Log ('Global' tab) that lets you watch the traffic handled by the proxy.  In which mode is the Proxy?

Cheers - Bob

It's running in transparent mode. See screenshots.

As you can see I've put MSN in the blocked list, but I can still go to that site. That's what the live log says:

2010:06:27-10:11:49 astaro httpproxy[26422]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="myWorkstationIP" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="50" time="88 ms" request="0x8acbd88" url="de.msn.com/.../blank.aspx

Btw: I did go to http://www.msn.com, but was imediately redirected.