Cannot get content filter working

Hi FreudianSlip

Did this config work under v6?

FreudianSlip.
here is the catch, took me a while to find it.The standard http profile takes precedence over user configured profiles.

You need to make sure that there are no allowed users/IP etc in the standard http profile and only in your configured profiles. 

I know it is not very clear and if you need to I will re-do the process with menu names etc.

Ian M[[:)]][:S][[:)]]

Nope, seriously, direct connection to the internet (using firefox 2.0.0.1), blank page.

Tried with ie.7 - worked fine?

I'm gonna put these gremlins to bed for the night, consult the oracle that is Mr Jameson, destroy a couple o grey cells and wake refreshed.

Thanks for your time, and I'll keep you updated.

This was of course due to the IPS falsely reporting this as a problem with FF.

FreudianSlip,

Did you ever get this working?

--Scott

Scott,
If you're having difficulties, have you tried 'management > system settings > reset configuration or passwords > run factory reset now' and reconfiguring the system ?
After loads of trouble with the http proxy / profiles, I did a factory reset, and re-entered my config, exactly as it was previously. The only difference is that everything now works perfectly well!

regards,

Alex

Gert,
that explanation is better than the ASG WEB page. Now I understand where my problem is. I have two profiles, an allow and a disallow,but only the allow is needed and the default will drop everything else.

Further, I think you are saying once you start to use a profile, you must use a profile for everyone eg you can't have the generic proxy which allows a selected (by network) group and a profiled group.

Now that has identified a bug with the time managed component of my profiles. The time management doesn't work, all time managed profiles and assignments drop straight through to default. I have tried a time managed profile of Mon-Sun 0000-2359 and it didn't work, but change it to "allow" and it works fine.

The time managed Packet filter rules work fine.

Ian M

ScottG,

I did - it was the IPS rules that were affecting my connectivity - I have another thread in the IPS/IDS forum that clarifies my problem and the associated answer.

The http proxy & content filtering issue was resolved by Gert - light was shed on an otherwise confusing (and obvioulsy mis-understood by many) subject.

Can you give me the link the the thread in the IPS/IDS forum that discusses this.

--Scott

Hi Scott, 

Try this: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/38235

If it doesnt answer your question, let me know.


Freudy

Freudy, 

I read the thread you linked to, but I don't see the connection between IPS and HTTP proxy.  From the thread it seemed IPS rules were causing problems and timeouts on some sites.  That's not the problem I have.  My problem is the HTTP proxy rules don't work.  I've read Gert's explanation, but I still have problems.

Any thought's on Alex's suggestion which is to a factory reset and reconfigure everything from scratch.  I'd hate to go through all that trouble and have it not work. I've heard about a lot of problems with HTTP profiles; it seems like Astaro has some bugs.

--Scott

Apologies Scott,

You replied to my quoted message :

Quote:
Originally Posted by FreudianSlip  
Nope, seriously, direct connection to the internet (using firefox 2.0.0.1), blank page.

Tried with ie.7 - worked fine?

I'm gonna put these gremlins to bed for the night, consult the oracle that is Mr Jameson, destroy a couple o grey cells and wake refreshed.

Thanks for your time, and I'll keep you updated. 
This was of course due to the IPS falsely reporting this as a problem with FF.
      

FreudianSlip 
View Public Profile 
Send a private message to FreudianSlip 
Send email to FreudianSlip 
Find all posts by FreudianSlip 
Add FreudianSlip to Your Buddy List 

  #16       05-19-2007, 04:27 AM  
 ScottG  
Member   Join Date: Mar 2007
Location: New Jersey
Posts: 87  
 
 

--------------------------------------------------------------------------------

FreudianSlip,

Did you ever get this working?

--Scott
 
--------------


And i thought you were talking about the IPS rules.

Sorry.

My fault, sorry for the confustion.  As you know by now I am struggling with the HTTP Proxy.  So it seems to be working for you.  


--Scott

My fault, sorry for the confustion.  As you know by now I am struggling with the HTTP Proxy.  So it seems to be working for you.  


--Scott

Hi Scott,

Ok, here goes - my powers of description may not be the best - but hey...

Start off by clearing out all your proxy profiles, filter assignments and filter actions so we have a clean sheet to begin with.

Then create :

A couple of users (as I'm using basic authentication on my config)

Enable basic authentication on the http proxy

2 x Filter Actions - make 1 strict, and 1 even stricter - i.e. block 1 or 2 categories on the 1st one, and block a few more on the 2nd one - just for testing purposes.

2 x Filter Assignments - matching the users up to the filter actions

1 x Proxy Profile - in here, you allocate the network (usually internal) and the filter assignments in order of their intended application.


So when you browse to the internet through the proxy, you should be presented with a username/password box - fill in the details as per your defined users and the ASG will then test the user & other conditions against the 1st filter assignment in the list.  If it doesnt get an explicit match it will try the next filter assignment and so on, until it either gets a match on the username & conditions and therefore applies the filter restrictions, or falls off the bottom and then applies the default one.

There may be some other idiosyncrasies with this but I believe that to be the way it works - I'm sure the more experienced will correct any mistakes in the above.

Hope this helps.

Freudy.

Thanks, I'll give it a try.  Currently in HTTP Global setting I have:
Allowed Networks = Internal (Network)
Operation Mode: Basic Authentication

Should I change either of these when I do the test?  I believe in past testing I did I removed Internal (Network) just to make sure I was forcing everything through the proxy profile.  

Scott

No, that looks fine to me - I interpret that as the ASG is being asked to perform as a proxy for the Internal network.  Port 8080 (default) will need to be configured in the browser along with this IP of the ASG. 

I'm farily sure that's all I had to do to get it working, but probably much like yourself, did a ton of other things on the way.

I deleted all profiles, filter assignments and filters.
Then I created 2 new filters
1. Test - Block Nudity & Weapons
2. Test - Block everything

I created 2 filter assigmensts
1. Test - Block Nudity (assigned to one user)
2. Test - Block everything (assigned to a different user)

I created one profile
Source: Internal (Network)
Filter assignments:
-Test - Block Nudity
-Test - Block everything
-Default content filter profile assignment
Fallback action: Test - Block everything

I logged into IE as the user assigned to block nudity.  I tried to go to guns.com and boobs. com and was blocked for both.  So far so good.
I closed IE and logged in as the user assigned to block everything.  I could get to everything.  Nothing was blocked.
I closed IE and logged in a 3rd user who is not part of the profile, I could get to everything, nothing was blocked.

I also want to use some of the time period filtering, but I didn't try that in this test.

-Scott

Hi Scott,

I've taken some screenshots of my configuration in the hope it will help you.

http://www.wmcomputing.co.uk/stuff/filter_actions.zip

Please review the pictures within and let me know how you get on.

Freudy