Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 1874 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with HTTP proxy profiles

AlexE
All,
I am having trouble with 'proxy profiles' configured within the http proxy.
I am running version 7.003 following a recent update.
My browser is internet explorer version 7

Overview of my 'test' configuration:
A profile was created specifying the source network as an individual host configured in 'definitions >> networks'.
A single filter assignment was selected within the proxy profile. The filter assignment itself authenticates users from an active directory group, has the time event set as 'always', and specifies a filter action which operates in 'blacklist' mode, and blocks categories 'drugs', 'criminal activities', 'extremistic sites', and 'nudity'.
The fallback action for the filter assignment is one which operates in 'whitelist' mode, and doesn't allow anything.

Now, upon running Internet Explorer, the user authentication process seems to work OK, but none of the blocked categories specified in the filter action are blocked. What is more confusing is the fact that this only happens when the specified fallback action (whitelist) has no entries in the 'allow these websites' box.
If an entry has been specified here, then the proxy profile seems to ignore the relevant filter assignment, and simply default to the fallback action.

I have spent hours configuring and reconfiguring the profile trying various combinations of settings to try and pin down some error on my behalf but without success. The error I've described applies to one situation, but I've also found what appear to be other inconsistencies using more complex profile configurations. Has anyone else had similar problems with 7.003? I understand that issues within the HTTP proxy were addressed in this update, but alas, it hasn't helped me much.

In the meantime, I have reverted to using the global http proxy settings for my users. Of course, this does not provide as much control as I would like.
However, although I have not specified any extensions within the 'file extension filter', the proxy has blocked attempts to download .exe files.
Interestingly, the download works fine if accessed via my troublesome proxy profile configuration detailed above!

P.S. I like ASG V7 on the whole. A definite improvement over V6. Much better (+quicker) GUI. Http proxy profiles would be great if I could get them to work!


This thread was automatically locked due to age.
Parents
  • 0
    I can't get profile proxies to work either.  I've tried in v7.002 and v7.003.  I have basic authentication enabled and every logs in.  I want to restrict internet access by time for specific logins, this doesn't work.  I also want to restrict specific websites by computer host, this doesn't work either.

    --Scott
  • 0 in reply to ScottG
    It sounds like it is defaulting to the main http profile and doing the opposite to what you are expecting.  What happens if you turn your thoughts upside down?  In your default profile under Web Security > HTTP > Content filtering have 'allow everything but block the following' and you tick everything, does that improve matters?

    I have got it working, but I am having issues with our PDA's where even though I have defined a profile for them they still fallback to the default one.

    You need to treat your default rule as a block everything, at least that way you know even if you have a misconfiguration somewhere nothing is compromised.

    Can you post some screenshots of your profile, filter assignment and filter action and also tell me what the ip address is that you are trying to protect within them.

    Once we have that I will try and advise you more. I will agree it is confusing, but it does work, well in most configurations [:)]

    Always remember the profile system is just like another firewall.  The proxy request will go down the tree trying to find a match, the first one it matches to it will stop and use it, if it fails to find a match it will try to use the default which is under the HTTP section rather than the HTTP Profile section.  If it still fails to find a match it will drop the request.
  • 0 in reply to Mike_H
    I sort to tried what you suggested, I set content filtering to block everything and didn't make any exceptions.  This didn't help.  I attached several screen shots.  I can only attach 5,  I'll attach the rest in a 2nd post.

    --Scott
  • 0 in reply to ScottG
    Here's four more screen shots

    --Scott
  • 0 in reply to ScottG
    cheers, will look and get back
  • 0 in reply to Mike_H
    odd...  mmm.   Please can you add all defined networks to the allowed network list in the Global HTTP settings.

    Your right it should work.  If you would like I don't mind remoting in and taking an actual look.  If you are agreeable we can talk offline at mike.huxley@cityofbristol.ac.uk
  • 0 in reply to Mike_H
    Hi Mike & Scott.
    Scott's configuration screenshots show a similar approach to mine. For this reason, I won't confuse things with more screenshots for the time being. However, I'd appreciate greatly it if you'd post any significant discoveries here, so I (and others) can keep up to date with how you're getting on.

    Mike, thank you for your suggestions and comments. However I ticked every category in 'web security > HTTP > content filter' like you said, and ensured it was set to 'Allow everything except selection below', but without any success. However, this is what I expected. You see, I have a profile whose, source IP is that of an individual pc. I know that the system correctly identifies the source address, because I am prompted for a username and password (basic user authentication is specified for the profile).
    There is only one filter assignment specified against the proxy profile, so I know that the system should try and match against that.
    The authentication process works, because only certain usernames and passwords are accepted, in accordance with the user/groups specified in the filter assignment. Finally, the time event of the filter assignment is set to always, so the match is completed. The resulting action should be the specified filter action. However, the blocked categories in my specified filter action simply aren't getting blocked.
    Because there is a complete 'match' within the profile, the fallback action should not be used, or the default http proxy settings. That's why I didn't expect any improvement by blocking everything in web security > http > content filter.
  • 0 in reply to AlexE
    Are you using a Parent Proxy?  Or is this astaro box behind another firewall or cable router or sommit.
    Surf Protection needs a direct connection to the internet.  Just wondering if sommit is blocking this stream
  • 0 in reply to Mike_H
    I don't use a parent proxy. The Astaro PC connects to the internet thro a 'household' ADSL wireless router. It has no configuration that should hinder ASG as far as I know. I'd consider it to be a direct connection anyway.
Reply
  • 0 in reply to Mike_H
    I don't use a parent proxy. The Astaro PC connects to the internet thro a 'household' ADSL wireless router. It has no configuration that should hinder ASG as far as I know. I'd consider it to be a direct connection anyway.
Children
No Data