Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 805 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Proxy overriding Packet Filter

cjsellers
Hi,

We are using ASL v5.200.  I have defined several CIDR networks in the network definitions.  I then created 2 packet filter rules to drop the packets if source, and another if destination match network definition.  When I am not using the HTTP Proxy, my rules are working properly.  However, when I am on the HTTP proxy, the packet filter rules are ignored and I am able to get to any address I had defined in the network definition.  I wish to block a wide range of problem networks, on all ports.

I should not have to create a URL blacklist for these addresses.  I think the packet filter rules should have higher priority than the HTTP proxy.

Why does the HTTP proxy ignore packet filter rules?

Any help you can provide would be greatly appreciated.

Thank you,

Alan


This thread was automatically locked due to age.
Parents
  • 0
    Hi William and Cyclops. Thank you both for your replies.

    Most of our users are on the proxy, only a select few either do not use the proxy, or can bypass. We also use the Cobion Content Filtering, so I have to use the proxy in order to take advantage of the CF. 

    One would think that the Packet Filter would have the final say on what traffic is permitted/denied based on the ruleset. 

    I dont understand why the proxy was designed to override the packet filter. For our needs, we only use ports 80, 443 through the proxy and I would prefer to block several CIDR IP Ranges as well as unused PORTS.

    I appreciate all of your help.

    Thank You,

    Alan
  • 0 in reply to cjsellers
    I also have a similar problem. (ASL6)

    I have several internal networks used by companies renting office space in our building, they are by packet filter forbidden to reach each other. They do have internet access and then i also have a transparent proxy since it is essential for us to use our external ip adresses to access our own web based system located on the inside.

    Problem with the proxy is that eventhou i have forbidden access between the local networks it is possible to reach http based information via the proxy since it searches "inwards" as well.

    If i put my internal nets in the skip source/destination networks they will not use the proxy for outbound traffic either.

    So how do i stop the proxy to "look inwards" and only proxy traffic to the internet?
  • 0 in reply to ITMannen
    The proxy is used before the packet filter rules so you can take advantage of the bypass proxy functions. If the proxy was after the PF nothing would get to the proxy. I think it would make management of the proxies in standard mode a lot more difficult.

    I think, but don't know for certain that it is something that would have to be done in the DNS (not the ASG DNS) if you can ban certain address from seeing other addresses.[:S][:S][:S]

    Maybe you could blacklist the local sites in the profiles.

    Ian M
Reply
  • 0 in reply to ITMannen
    The proxy is used before the packet filter rules so you can take advantage of the bypass proxy functions. If the proxy was after the PF nothing would get to the proxy. I think it would make management of the proxies in standard mode a lot more difficult.

    I think, but don't know for certain that it is something that would have to be done in the DNS (not the ASG DNS) if you can ban certain address from seeing other addresses.[:S][:S][:S]

    Maybe you could blacklist the local sites in the profiles.

    Ian M
Children
No Data