Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 965 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Automatic updates to proxy allow list

RUok0101
We have an application where the astaro surf protection filter is not in front of the users. We use iptables to forward port 80 to the content filter remotely. The problem is that we don't want the http proxy to be open to just anyone but the locations we do want it open to change all the time because they are on dynamic connections and spread across many service providers. This makes even listing the network ranges for each one a pain.

We do however have a list that can be wget'd that has the current IP addresses. I am wondering if there is a way we can (through a script) tell the http proxy about changes to the IP addresses? I thought about writing a script that wgets the file and rebuilds an iptables table allowing only our current IPs to access port 8080 whenever there are changes to this list, but I thought there might be some API calls or special files somewhere instead. Anyone have any idea if this is possible? I am looking to do something similar with the SMTP proxy.

Thanks.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to ClausP
    That was quick and simple, but sure not an answer =)

    My remote sites are not running astaro and I have no control over the users to force them to login to a vpn. The idea is to have a TRANSPARENT web filter.
  • 0 in reply to RUok0101
    [ QUOTE ]
    That was quick and simple, but sure not an answer =)

    My remote sites are not running astaro and I have no control over the users to force them to login to a vpn. The idea is to have a TRANSPARENT web filter. 

    [/ QUOTE ]

    The way this usually works (with a web proxy on an ISP for example) is that the ISP knows that its users will allways be in an IP range. What you want to do is going to be next to impossible without either a) Using some form of authentication. or b) Someohow forcing all your users to have an recognizable ip range.

    The concept of making them use a VPN is a valid answer to b).

    You are I am sure aware of how to use an authenticaion system to do it the other way, you could setup an Ldap server or some other system so that they could authenticate to your proxy, but then its not "transparent".

    You seem to have control over their iptables on their machines, I don't see why you couldn't have the same sort of control over their vpn settings.  [:S]