Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 3037 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with Firewall Rules and URL Proxy

jerick70
Hi,

I am having an issue with a Time Period Definition based Firewall Rule and the URL proxy.  

Here is the problem....  I am blocking all access via a firewall rule every night from 10 PM to 7 AM the next morning.  I have 2 rules created to accomplish this.  One from 10 PM to midnight and one form midnight to 7 am. I've added a few URLs in the URL proxy that I would like to block also.  When the proxy is enabled the firewall block rules do not work.  But when I disable the proxy the firewall rules work fine.  Why is this happening?  What can I do to get both to work together?

Thanks in advanced,
Jeff


This thread was automatically locked due to age.
  • 0
    Hi, the proxy has it's own firewall rules which come first.

    I don't remember if the proxy has options for time based access also.

    Barry
  • 0
    Hi Jeff,

    you can achive the time based proxy access if you use proxy-profiles. On the filter assignment tab there is an option to use a time definition. I think the best way is to create an 'allowed time', create a filter, an assignment and a profile and configure everything else to 'block all'. It's a little bit confusing if you use it the first time - so read the help and look at the overview picture of the proxy profiles ;-).

    Regards
    Manfred
  • 0
    Manfred is exactly right. Using Http-Profiles, you can do time based filter assignments. 
    You can/have to leave the "user" box empty on the assignment properties, which then defaults to any user. 

    Kind regards,
    Matthias
  • 0
    It looks like this is another place to remind newer users that there's a prioity as to how traffic arriving at an interface is handled.

    If a packet qualifies for a DNAT, it won't be considered by a proxy or manual Firewall and Routing rules.  If a packet is handled by a proxy, then it won't be considered by manual Firewall and Routing rules.

    In summary: "DNATs first, then Proxies and, finally, manual Firewall and Routing rules."

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you for the info.  So if I setup a http-profiles to setup a time based block all for the same times as the firewall rules this should block both?
  • 0
    Hi Jeff,

    I'm not sure if I understand your last question correctly.

    But as a general advice, I would recommend to use another appoach. You try to deny something for a given time that is allowed by something else. I would think about just allowing something for a given time. On that approach you would have one paketfilterrule that allows something from 7am to 10pm and you can use the same time definition to create the proxy filter assignment. And if nothing else allows the traffic it is blocked per default - that is in most cases the more simple approach.

    Regards
    Manfred
  • 0 in reply to BAlfson
    It looks like this is another place to remind newer users that there's a prioity as to how traffic arriving at an interface is handled.

    If a packet qualifies for a DNAT, it won't be considered by a proxy or manual Firewall and Routing rules.  If a packet is handled by a proxy, then it won't be considered by manual Firewall and Routing rules.

    In summary: "DNATs first, then Proxies and, finally, manual Firewall and Routing rules."

    Cheers - Bob


    Why is that?  Why not run through all 3 in this order:  DNAT > Proxy > Firewall (or any other order).  Is this a design decision or a limitation of the process used?
  • 0
    Well, I don't think there's a clear answer as it's both in different ways.

    For example, what if you're using the Reverse Web Proxy (Web Application Security) for general, public access to your a web server in your DMZ, but you want your developers to be able to "see" the webserver directly from a single IP.  For that, you create a DNAT that "captures" their inbound request before the proxy takes it over.

    Having said that, it is possible to write a DNAT that changes the Service instead of the Destination, and "push" specific traffic into a proxy that otherwise would be dropped.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks everyone for your help on this issue.  Forgive me, I am late at getting back to this.  

    @hallowach There seems to be a little confusion.  Let me explain what I have done.  I have rules in Network Security -> Firewall for port blocking and the like, and I have turned on Web Security -> Web Filtering so I can block URLs by name.  What I am asking is can I not use these together?  When I have Web Filtering turned on it will not allow me to use a timed period definition block.   

    Also, I have found another problem.  Because the proxy and the firewall will not work together I turned off web filtering.  When I turn off Web Filtering I can not block IP addresses that are visited with the URL.

    Do I need to reset and start from scratch?
  • 0
    Jeff, there are several things to take into account.

    I already mentioned: DNATs, then Proxies, then Firewall and Routing rules.

    In a "Transparent" mode, the Astaro Proxy only handles HTTP traffic, and all other Web Surfing desired must be allowed with a Firewall rule.  The 'Transparent mode skiplist' is effective only when the Proxy is used in a Transparent mode.

    On the 'Advanced' tab, the 'Allowed target services' are handled only when the Proxy is in a "Standard" mode.

    Reread the recommendations from Manfred and Matthias above - 'Time Events' can be used in 'Filter Assignments' in 'Web Filtering Profiles'.

    Cheers - Bob