Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 4982 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro - Proxy - Transparent

jspanitz
Ok, can someone tell me if you can hide your external IP and INTERNAL IP when using the HTTP Proxy server in ASL 6.0.2?

I was under the assumption Astaro at least hid the internal (Behind Masq NAT) ip, but that clearly is not the case.  You can test this by going to the sites below: [:S]

http://mikeage.net/content/proxy.php
http://www.hackerwhacker.com/freetools.php  (Bottom of page)

HTTP_X_FORWARDED_FOR is the property I am most concerned with, although the REMOTE_ADDR is pretty big too.

Any way to block these?


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]
    Ok, can someone tell me if you can hide your external IP and INTERNAL IP when using the HTTP Proxy server in ASL 6.0.2?

    I was under the assumption Astaro at least hid the internal (Behind Masq NAT) ip, but that clearly is not the case.  You can test this by going to the sites below: [:S]

    http://mikeage.net/content/proxy.php
    http://www.hackerwhacker.com/freetools.php  (Bottom of page)

    HTTP_X_FORWARDED_FOR is the property I am most concerned with, although the REMOTE_ADDR is pretty big too.

    Any way to block these? 

    [/ QUOTE ]
    This is normal. The firewall has to know how to route the request it is proxying.  if you are that worried..increase the privacy level inside the http proxy.  This will render increasing numbers of sites and content unreachable as the increasing levels of privacy decrease the amount of needed information for the content to work.  You could just raise it all the way up and then white list your preferred domains..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Hmm, normal is relative.  IPCop can do this with an add-on.  http://www.advproxy.net/images/ipcop-main.png  It should at least be an option in ASL.
  • 0 in reply to William Warren
    Hmm, I remember reading that when I first set ASL up.  But it also blocks cookies.  Not good.  

    We still need cookies, unfortunetly.

    Any suggestions?
  • 0 in reply to jspanitz
    You can't hide your external IP if yuo want to surf and get e-mail. You can make it so you can't be seen to incoming traffic by disabling responses to qwueries on your inteface eg disable ping, traceroute etc.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    Hi,

    something like, hmm its sunday, I am in DisneyLand, so I just hope nobody sees me. [:)]

    Chris
  • 0 in reply to NimmdirKeks
    You can hid the following two properties and still surf the web:
    HTTP_VIA = 
    HTTP_X_FORWARDED_FOR = 

    Our Cisco PIX does it just fine.  Without blocking cookies.
  • 0 in reply to jspanitz
    Thanks for pointing that out jspanitz . 
    Like you, I beleive that this piece of information should be kept inside as much as possible, without restricting cookies usage. The only configuration available is the anonymity level in the http proxy global settings. It has to be put on Paranoid to hide at least the internal Ip adresses used. But that completely blocks all the cookies needed for work related operations.
    Would be nice if Astaro could come up with something... 
    BTW, the internal range / ip shows up also in the headers passing the smtp proxy.. this should be masked also.
  • 0 in reply to Stealth
    BTW, right from the Astaro Web Site:
    http://www.astaro.com/firewall_network_security/firewall_asg

     [ QUOTE ]
     NAT and Masquerading
    Dynamic and static Network Address Translation (NAT) and masquerading conceal internal IP addresses behind a "public" IP address, to prevent hackers from learning about internal networks, servers, and users.
      

    [/ QUOTE ] 

    Umm, No, It Doesn't.... [:$]
    (Unless you surf without cookies 100% of the time - Yeah Right!)
  • 0 in reply to jspanitz
    [ QUOTE ]
    BTW, right from the Astaro Web Site:
    http://www.astaro.com/firewall_network_security/firewall_asg

     [ QUOTE ]
     NAT and Masquerading
    Dynamic and static Network Address Translation (NAT) and masquerading conceal internal IP addresses behind a "public" IP address, to prevent hackers from learning about internal networks, servers, and users.
      

    [/ QUOTE ] 

    Umm, No, It Doesn't.... [:$]
    (Unless you surf without cookies 100% of the time - Yeah Right!) 

    [/ QUOTE ]

    Hi,

    your mixing PROXY and NAT. NAT can't hide application-layer information, only the proxy can do that. 

    Chris
  • 0 in reply to Stealth
    Possibly add an "Advanced" to the None|Standard|Paranoid Anonymity setting that would allow individual tweeking of things like allow/disallow cookies, lists of allowed/disallowed headers, etc. if the three stock profiles don't fit an installation's needs.
  • 0 in reply to NimmdirKeks
    No confusion.  Understood.  The wording is Astaro's.

    But again, in ASL, the only way to mask your internal info also blocks all cookies.  Which, unfotunetly, many, many websites require to work properly.

    So, while technically ASL can do what they say, they neglect to mention that by doing so, you and your customers / end users will not be able to use a high percentage of web sites.
  • 0 in reply to jspanitz
    Hi,

    how about you block cookies on your client side, and use the whitelist from the browser??

    Chris
Reply Children
No Data