Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 3024 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help blocking a webmail site

Scott_Klassen
I have the webmail category blocked.  http://mail.google.com is blocked effectively, but one of our employees figured out that the link in the google calendering app to mail worked.  This link goes to https://mail.google.com.  I've submitted the https address to astaro for categorization, in the meantime, I've been trying to add it to my blacklist, but nothing seems to be working.  Can anyone here figure out a way to block https://mail.google.com?


This thread was automatically locked due to age.
Parents
  • 0
    I submitted this to Astaro support and they told me that while in transparent mode, any https traffic is ignored by the web proxy.  They did provide a workaround that did the job quite nicely.  The only drawback is that the end-user will not get any message about being blocked, the connection attempt will just timeout.  Pasting it here so that it can potentially help somebody else.
     
    [FONT=Consolas][SIZE=3]The transparent mode proxy only affect HTTP traffic on port 80.  All other traffic such as HTTPS isn't affected for scanning.[/SIZE][/FONT]
    [FONT=Consolas][SIZE=3] [/SIZE][/FONT]
    [FONT=Consolas][SIZE=3]In order to block something like mail.google.com you can try using packet filter rules with a DNS multiple hostname definition.[/SIZE][/FONT]
    [FONT=Consolas][SIZE=3] [/SIZE][/FONT]
    [FONT=Consolas][SIZE=3]Create the definitions>>networks for the mail.google.com as a DNS multiple hostname entry.[/SIZE][/FONT]
    [FONT=Consolas][SIZE=3] [/SIZE][/FONT]
    [FONT=Consolas][SIZE=3]In packet filters set a drop for any internal(network) traffic destined for the mail.google.com definition.[/SIZE][/FONT]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Reply
  • 0
    I submitted this to Astaro support and they told me that while in transparent mode, any https traffic is ignored by the web proxy.  They did provide a workaround that did the job quite nicely.  The only drawback is that the end-user will not get any message about being blocked, the connection attempt will just timeout.  Pasting it here so that it can potentially help somebody else.
     
    [FONT=Consolas][SIZE=3]The transparent mode proxy only affect HTTP traffic on port 80.  All other traffic such as HTTPS isn't affected for scanning.[/SIZE][/FONT]
    [FONT=Consolas][SIZE=3] [/SIZE][/FONT]
    [FONT=Consolas][SIZE=3]In order to block something like mail.google.com you can try using packet filter rules with a DNS multiple hostname definition.[/SIZE][/FONT]
    [FONT=Consolas][SIZE=3] [/SIZE][/FONT]
    [FONT=Consolas][SIZE=3]Create the definitions>>networks for the mail.google.com as a DNS multiple hostname entry.[/SIZE][/FONT]
    [FONT=Consolas][SIZE=3] [/SIZE][/FONT]
    [FONT=Consolas][SIZE=3]In packet filters set a drop for any internal(network) traffic destined for the mail.google.com definition.[/SIZE][/FONT]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Children
  • 0 in reply to Scott_Klassen
    Hey Scott,

    Yes this is a good technique for blocking all types of webmail clients as well as IM clients.

    I have spent a few hours scratching my head as to why IM clients are still working in 7.002 even with the the IM proxy set to Block Completely.
    I was told by an astaro tech to create the DNS group and then a PF rule to drop all traffic going to that DNS group.  Works like a charm for both HTTP and HTTPS traffic, on Web traffic (webmail) and IM clients (like YahooIM, AIM, GoogleTalk, MSN, etc.)

    IM clients frequently change their methods/ports they use to access the internet, so this is a good way to block them.

    Just takes a little bit of work to watch the logs to find out what sites people are trying to access.[H]
  • 0 in reply to grlynch
    Yep.  One of the reasons I don't use transparent mode.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.