Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 9181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ftp and https transparent?

bce
If i switch on the http-proxy in transparent mode only http traffic is possible. in standard mode i can use http ftp and https tru the proxy. So I left it in standard-mode and tried it with dnat/snat -> Internal (Network) -> Any / HTTP   None   Internal (Address) / SQUID. But with this config i get a sqid error:  While trying to retrieve the URL: / . What did i wrong? Or is there any other solution to make http, https and ftp transparent?
thanks.


This thread was automatically locked due to age.
Parents
  • 0
    You don't state which version of ASL you are running, v4 or v5.
    In the context sensitive help in ASL v4, you will find the following comment for the HTTP proxy:
    [ QUOTE ]
    In Transparent mode, the proxy will handle all traffic passing the firewall on port 80. In this mode, the clients do not need to enter the proxy in their browser configuration. Please note that the proxy cannot handle FTP and HTTPS (secure) requests in this mode. If your clients want to access such services, you must open the respective ports (21 and 443) in the packet filter.

    [/ QUOTE ] Have you done this? Are ports 21 and 443 open through your packet filter?

    Get rid of your strange NAT rule with SQUID in it, That is not the way to solve the problem.
  • 0 in reply to VelvetFog
    i tought that its possible to forward http, https and ftp request from internal to any, to the astaro squid with dnat/snat rules like:
    if http request from internal -> forward to lokal adress (astaro) to port 8080.

    I wanted to make these traffic transparent with this rule, because in the real transparent mode only http is possible (doesn´t matter if we talk about v4 or v5 ;-) ) and i wasn´t really happy to set the proxies manually in the browsers.

    I had the eTrust SCM bevor, for virus scanning. It was in the dmz and i managed it with dnat/snat, too. but how to dnat/snat to the astaro´s http proxy?
  • 0 in reply to VelvetFog
    VelvetFog ,

    it´s not such a "b ig" issue, but i´m young, i´m a trainee and i´d like to solve problems most centralized as possible.
    There are always more ways or solutions, but i was looking for a transparent so that users have no changes. 
    My network knowledge is not the best right now but is the reason why https is not transparent maybe because of the cryptet https protocol? i mean if it´ll be possilbe (the transparency) wouldn´t it be than something like a men in the middle?
  • 0 in reply to bce
    right now https and ftp not being able to be done in transparent mode is a squid limitation...squid is not made by astaro but by squid.  You can get more information at http://www.squid-cache.org

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    thx william.
    is it generally possible (from the protocoll view) to make https transparent?
  • 0 in reply to bce
    technically..I don't think so..but i am guessing on that question..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to bce
    http://www.cisco.com/en/US/products/sw/conntsw/ps491/products_configuration_guide_chapter09186a00801cc947.html

    ...where it says "Transparent HTTPS caching using SSL works as follows" seems to say that it is technically possible, but only if your as wealthy as a small country and can afford all that cisco gear.... [:)]

    I think its also doable with SSl accelerators which also cost a small fortune..
  • 0 in reply to bce
    Hi!

    AFAIK HTTPS-Traffic isn't cached... So why not create a filter rule, that lets HTTPS pass directly? (Same for FTP...)

    HTTP is then cached through the transaprent proxy...
    I think, this would be the best solution!

    Cheers,
    Thorsten
  • 0 in reply to VelvetFog
    We wanted to introduce transparent proxy, but because of the usage of user authentication it was not possible. This is our solution: We created a user login-scripts to set the proxy setting in the IE for every client during to login process. Additionally we changed the permission that a normal user is not able to change these settings on his/her machine. 

    It is now also some kind of “transparent”, because they cannot change it.
  • 0 in reply to FN-Eagle
    if you use a windows net why didn´t you enter the proxy for ie in the ad´s gpo?
  • 0 in reply to FN-Eagle
    [ QUOTE ]
    We created a user login-scripts to set the proxy setting in the IE for every client during to login process.

    [/ QUOTE ]I guess you must still be running an old Windows NT 4 server then. On any newer version of Windows server, Win2K or Win2K3, you would simply force the IE settings through the use of a group policy. If you make the change in the default group policy on the domain, it will automatically reconfigure IE to use the web proxy on every connected machine.
Reply
  • 0 in reply to FN-Eagle
    [ QUOTE ]
    We created a user login-scripts to set the proxy setting in the IE for every client during to login process.

    [/ QUOTE ]I guess you must still be running an old Windows NT 4 server then. On any newer version of Windows server, Win2K or Win2K3, you would simply force the IE settings through the use of a group policy. If you make the change in the default group policy on the domain, it will automatically reconfigure IE to use the web proxy on every connected machine.
Children