Cannot get content filter working

Hi FreudianSlip

Did this config work under v6?

FreudianSlip.
here is the catch, took me a while to find it.The standard http profile takes precedence over user configured profiles.

You need to make sure that there are no allowed users/IP etc in the standard http profile and only in your configured profiles. 

I know it is not very clear and if you need to I will re-do the process with menu names etc.

Ian M[[:)]][:S][[:)]]

FreudianSlip,
please re-read my post on your problem.

You screenies show exactly what I was advising as an incorrect configuration.

You have your network in the general http proxy which is allowing everything through, remove it.

Ian M

How about this for strange.

I remove the entry (I'm sure I did before!), click Apply - all looks good.

I move off the page, and back onto it, and the entry is back?

This is probably the cause of my pain - anyone else seen this before?

Here is a video of it (~6mb) : www.wmcomputing.co.uk/astaro_pics/astaro_vid1.avi

Hi FreudianSlip,

the behavior I see in the video you posted is intended. It does not make sense to switch the HTTP Proxy on but not allow any client networks. So this is not the problem in your case.

I will try to reproduce your setup to fully understand what you are doing and post again when I find out anything.

Edit:

Sigh, I still didn't get it. But now have new information: Please do not use more than one profile matching the same client network (you configured all of your three profiles to match the Internal Network). Instead, make only one Proxy Profile matching the Internal Network, then activate all three filter assignments (children, standard and allow_all) for this single Profile. Sort the activated assignments in a way that the most restrictive comes first and the least restrictive last.
Please let me know if it works like you expected when you configured it that way.

hi there all, 

Let me shade some light into the dark.

This issue is a mixture of some small configuraiton error/missunderstanding and a bug in the profile sort order, this gives us total confusion.

Config Missunderstanding
If am HTTP request gets processed, the proxy first determains which 'Proxy Profile' is responsible for this request. This decission is purly done based on the SRC IP of the request, mapped with the 'allowed networks' of the 'Proxy Profiles'.
The order is as followed:
- Proxy Profile, Position 1
- Proxy Profile, Position 2
- Proxy Profile, Position 3
- Default Proxy Profile (from Web Security > HTTP) 

The first profile which is found that is suitable for this SRC IP of the request is used and no other profile is looked at.

Therefore it does not make sense to have two profiles with the exact same network 'Internal (network)', as the second one is never evaluated.
A possible way to use overlapping profiles is explained below.

But how can i assign different Actions to differnet users?
Good question, this is what the Filter Assignments are for.
You can assign different actions, based on time and/or users/groups.
This users can either be local or remote authenticated. The groups can either be local groups or mapped to groups inside Active Directory or eDirectory groups.

What happens if no filter assignment matches?
This is where the fallback Action comes into play.
If no filter assignment matches, because
- the request occures outside the timerange of the assignment
- the request comes from an authenticated user which is not handled in any assignment (failed authentication gets blocked always)
- ...
than the fallback action is applied to this request. Depending on the security policy of your company, this can either be, 'Allow All' or 'Block All' or 'Allow only Safe sites'.

 When does the 'Default Profile' get evaluated?
As shown on the overview graph in 'HTTP Profiles', the 'default profile' gets always evaluated as the last profiles AFTER the HTTP Profiles.
Normally there are no HTTP Profile, than the 'Default Profile' is only one used.

 What is the bug you are talking about?
If you have more than one 'Proxy Profile', than the sort order of these profiles is currently random, even if the GUI tell's you different.
But this is only relevant, if you have more than one proxy profile AND two of these profiles have overlapping network segments.
Example:
- Profile 1, Network: 192.168.3.10/32, Action: allow all
- Profile 2, Network: 192.168.3.0/24, Action: allow some, no nudity

in this case, Profile 1 should be evaluated before Profile 2, so the ip 192.168.3.10 gets a special treatment.
As this order is now random, it sometimes can work and sometimes not.
This issue will be fixed in the next up2date.

If all profiles have non overlapping network segments, which we strongly suggest, than this is not relevant, as always the proper profile is selected.

Why do i need multiple profiles for different networks?
With this you can run the proxy in different modes, for different network segments. In ASG V6, it was only possible to use the proxy in one mode (Standard, Transparent, Basic Authentication, eDirectory SSO, Active Directory SSO).

We have extended this in V7, so that it is now possible that 'Sales Network' uses eDirectory SSO, 'Guest Network' uses Transparent Mode, 'R&D Network' uses Standard Mode.

If you want to do that, you need to configure a single 'Proxy Profile' for each Network. You than can use the 'Filter Assignments' to map different Content Filter Actions to the different Users/Groups and/or to different Times.

So you can configure that your kids are only allowed to surf from 1pm-9pm, and from 4pm-6pm, they are only allowed to access school relevant websites.

I hope this explains the usage of the HTTP Profiles better.

thanks for using our product.
Best Regards
Gert

Fantastic - worked a treat.

All I had to do was remove 2 of the proxy profiles (didn't matter which as they were all using the internal network) and then change the filter assignments to:

Children_Filter
Standard_Filter
Allow_all_FilterAssignment
Default content filter profile assignment

Many thanks to all that contributed, I can rest a little easier knowing my little girl is at least a bit safer than yesterday :-)

Nope, seriously, direct connection to the internet (using firefox 2.0.0.1), blank page.

Tried with ie.7 - worked fine?

I'm gonna put these gremlins to bed for the night, consult the oracle that is Mr Jameson, destroy a couple o grey cells and wake refreshed.

Thanks for your time, and I'll keep you updated.

This was of course due to the IPS falsely reporting this as a problem with FF.

FreudianSlip,

Did you ever get this working?

--Scott

Scott,
If you're having difficulties, have you tried 'management > system settings > reset configuration or passwords > run factory reset now' and reconfiguring the system ?
After loads of trouble with the http proxy / profiles, I did a factory reset, and re-entered my config, exactly as it was previously. The only difference is that everything now works perfectly well!

regards,

Alex

Gert,
that explanation is better than the ASG WEB page. Now I understand where my problem is. I have two profiles, an allow and a disallow,but only the allow is needed and the default will drop everything else.

Further, I think you are saying once you start to use a profile, you must use a profile for everyone eg you can't have the generic proxy which allows a selected (by network) group and a profiled group.

Now that has identified a bug with the time managed component of my profiles. The time management doesn't work, all time managed profiles and assignments drop straight through to default. I have tried a time managed profile of Mon-Sun 0000-2359 and it didn't work, but change it to "allow" and it works fine.

The time managed Packet filter rules work fine.

Ian M

ScottG,

I did - it was the IPS rules that were affecting my connectivity - I have another thread in the IPS/IDS forum that clarifies my problem and the associated answer.

The http proxy & content filtering issue was resolved by Gert - light was shed on an otherwise confusing (and obvioulsy mis-understood by many) subject.

ScottG,

I did - it was the IPS rules that were affecting my connectivity - I have another thread in the IPS/IDS forum that clarifies my problem and the associated answer.

The http proxy & content filtering issue was resolved by Gert - light was shed on an otherwise confusing (and obvioulsy mis-understood by many) subject.

Can you give me the link the the thread in the IPS/IDS forum that discusses this.

--Scott

Hi Scott, 

Try this: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/38235

If it doesnt answer your question, let me know.


Freudy

Freudy, 

I read the thread you linked to, but I don't see the connection between IPS and HTTP proxy.  From the thread it seemed IPS rules were causing problems and timeouts on some sites.  That's not the problem I have.  My problem is the HTTP proxy rules don't work.  I've read Gert's explanation, but I still have problems.

Any thought's on Alex's suggestion which is to a factory reset and reconfigure everything from scratch.  I'd hate to go through all that trouble and have it not work. I've heard about a lot of problems with HTTP profiles; it seems like Astaro has some bugs.

--Scott

Apologies Scott,

You replied to my quoted message :

Quote:
Originally Posted by FreudianSlip  
Nope, seriously, direct connection to the internet (using firefox 2.0.0.1), blank page.

Tried with ie.7 - worked fine?

I'm gonna put these gremlins to bed for the night, consult the oracle that is Mr Jameson, destroy a couple o grey cells and wake refreshed.

Thanks for your time, and I'll keep you updated. 
This was of course due to the IPS falsely reporting this as a problem with FF.
      

FreudianSlip 
View Public Profile 
Send a private message to FreudianSlip 
Send email to FreudianSlip 
Find all posts by FreudianSlip 
Add FreudianSlip to Your Buddy List 

  #16       05-19-2007, 04:27 AM  
 ScottG  
Member   Join Date: Mar 2007
Location: New Jersey
Posts: 87  
 
 

--------------------------------------------------------------------------------

FreudianSlip,

Did you ever get this working?

--Scott
 
--------------


And i thought you were talking about the IPS rules.

Sorry.

My fault, sorry for the confustion.  As you know by now I am struggling with the HTTP Proxy.  So it seems to be working for you.  


--Scott

Hi Scott,

Ok, here goes - my powers of description may not be the best - but hey...

Start off by clearing out all your proxy profiles, filter assignments and filter actions so we have a clean sheet to begin with.

Then create :

A couple of users (as I'm using basic authentication on my config)

Enable basic authentication on the http proxy

2 x Filter Actions - make 1 strict, and 1 even stricter - i.e. block 1 or 2 categories on the 1st one, and block a few more on the 2nd one - just for testing purposes.

2 x Filter Assignments - matching the users up to the filter actions

1 x Proxy Profile - in here, you allocate the network (usually internal) and the filter assignments in order of their intended application.


So when you browse to the internet through the proxy, you should be presented with a username/password box - fill in the details as per your defined users and the ASG will then test the user & other conditions against the 1st filter assignment in the list.  If it doesnt get an explicit match it will try the next filter assignment and so on, until it either gets a match on the username & conditions and therefore applies the filter restrictions, or falls off the bottom and then applies the default one.

There may be some other idiosyncrasies with this but I believe that to be the way it works - I'm sure the more experienced will correct any mistakes in the above.

Hope this helps.

Freudy.

Thanks, I'll give it a try.  Currently in HTTP Global setting I have:
Allowed Networks = Internal (Network)
Operation Mode: Basic Authentication

Should I change either of these when I do the test?  I believe in past testing I did I removed Internal (Network) just to make sure I was forcing everything through the proxy profile.  

Scott

No, that looks fine to me - I interpret that as the ASG is being asked to perform as a proxy for the Internal network.  Port 8080 (default) will need to be configured in the browser along with this IP of the ASG. 

I'm farily sure that's all I had to do to get it working, but probably much like yourself, did a ton of other things on the way.

I deleted all profiles, filter assignments and filters.
Then I created 2 new filters
1. Test - Block Nudity & Weapons
2. Test - Block everything

I created 2 filter assigmensts
1. Test - Block Nudity (assigned to one user)
2. Test - Block everything (assigned to a different user)

I created one profile
Source: Internal (Network)
Filter assignments:
-Test - Block Nudity
-Test - Block everything
-Default content filter profile assignment
Fallback action: Test - Block everything

I logged into IE as the user assigned to block nudity.  I tried to go to guns.com and boobs. com and was blocked for both.  So far so good.
I closed IE and logged in as the user assigned to block everything.  I could get to everything.  Nothing was blocked.
I closed IE and logged in a 3rd user who is not part of the profile, I could get to everything, nothing was blocked.

I also want to use some of the time period filtering, but I didn't try that in this test.

-Scott

Hi Scott,

I've taken some screenshots of my configuration in the hope it will help you.

http://www.wmcomputing.co.uk/stuff/filter_actions.zip

Please review the pictures within and let me know how you get on.

Freudy