Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 1921 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

forward all http access to http proxy

Wallace Fong
Dear all,
I would like to forward all http access to http proxy when user want to access http, all users PC are point to astaro as a default gateway, and using http proxy to control who can be access http.

anybody could help me? thx

Wallace[:)]


This thread was automatically locked due to age.
  • 0
    Just choose "Transparent" for Operation Mode in the HTTP Proxy settings. Every HTTP client request (assuming that the client has the ASG as default gateway) will be handled by the HTTP Proxy even if the client has no proxy configured in his browser settings. Does that answer your question?
  • 0
    Use DNAT for requests to Port 80 and redirect them to Port 8080
  • 0 in reply to ClausP
    Use DNAT for requests to Port 80 and redirect them to Port 8080


    Maybe I did not understand the question, but why not just use transparent HTTP proxy?

    Wallace, are you talking about users in your internal network accessing some HTTP servers in the internet or about users from the internet accessing a HTTP server in your network?
  • 0 in reply to mority
    The transparent proxy is the quickest and easiest solution:  There is one drawback, though.  You will find that some graphics-intensive sites are slow to load, or load in a manner that may confuse the user (they might think the site is down or corrupt).. this is fairly rare, but it does happen.  When we can, we deploy the Astaro with the Proxy in Standard mode, and do not allow port 80 outbound from any of the client workstations (unless there's a special need).. we, instead, configure the clients to use the proxy in IE (with IE, you can do this globally via Group Policy), Firefox, etc.  This fixes that wierd content loading issue (whether it's browser behavior or Squid, not sure, but this holds true for IE 6.x and Firefox 1.5).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    You can configure transparent proxy and still configure the client browsers for explicit proxy use to counter this issue. Then the proxy behaves like the standard proxy for browsers which have the proxy configured but still catches requests from browsers which do not have a proxy configured.
  • 0 in reply to mority
    Well, we have also had instances where the transparent proxy doesn't play well with some software update services that use port 80, that's why we generally don't use Transparent Proxy, in addition to the greater control we can have over what happens--of course, one can always put in bypass packet filter rules for selected sites in Standard mode, or put in sites in the bypass list in transparent mode... it's almost a matter of opinion.. it's just what we've standardized on for us and our customers.. I only have 1 customer (out of many) who is running their Proxy in transparent mode, and that will change after I have their ISP make some important changes.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    I experienced this issue with update mechanisms too (with Antivir updates and occasionaly with Debian/Ubuntu updates) and I always resolved the problem with the whitelist domains.
    You're right, it's more or less a matter of taste whether to use transparent proxy or not.
  • 0
    thx everybody!

    I would like to describe my purpose detail:
    One of PC with fixed IP and setup a rule for direct access Internet (IP access any service is allow) but I would like to control Internet access, so that I need to setup a rule (that IP access Port 80 forward to 8080 to control)

    I think DNAT is suitable for me, could ClausP tell me detail how to setup this

    thx a lot.
    Wallace Fong
  • 0 in reply to Wallace Fong
    BrucekConvergent has the best idea. Although transparent mode is easy to set up for the client, it is way harder to configure for the server.It is slower and does not cache https or FTP. 

    My advice is to not take the easy way out, and set up your proxy server properly. Set your proxy in standard mode. either use the DNS proxy, or if you have your own internal DNS server set a packet filter rule to allow outbond DNS traffic.

    Then through DHCP, or static mapping set your default gateway to be the Astaro box. 

    Go to each workstation and under connection settings in your browser, set the proxy server settings. 

    As an example, 192.168.1.1  port 8080, and the don't forget to exclude the gateway address from using the proxy, or you won't be able to get back in. 

    Like was mentioned before, this can be achieved through group policy if you use IE6 or bettter. Unfortunately I have not found an automated way of depoying this with firefox, which is my prefered brrowser.

    If anyone knows a way to deploy firefox proxy settings accross a domain, please let me know.

    Thanks
  • 0 in reply to Wallace Fong
    http://portal.knowledgebase.net/article.asp?article=111678&p=5956

    Name:
     http2aslproxy

    Rule typ:
     DNAT/SNAT

    Packets match to:  
     source address (your clients network)
     destination address (any)
     service (http)                      

    Change destination to:
     address (asl interface in the client network)
     service destination (http proxy)