Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1240 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Proxy and DMZ

dpritt
I have a normal internal network working through the HTTP Proxy service to get the security goodies etc. I have been asked to set up a second network as a form of DMZ allowing users in this network to have the same level of security, but no access to the main internal one.

I have set a filter to the top of the list which is DMZ to Internal drop all services. 

The HTTP Proxy is in transparent mode, as we don't yet authenticate, and the DMZ users will never. Both are permitted in the proxy.

This is working OK with one exception, and that is the HTTP Proxy allows port 80 traffic from the DMZ to the Internal network. The packet filter is not effective.

I don't have any other filters set on port 80, so I am baffled.

Running V7.011 on an ASG220.

Anyone show me the errors of my ways?

Dave P


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to bitonw
    Hi Dave.

    We have the same problem. 
    If you use the (transparent) proxy all (!) traffic on port 80 is handled by the proxy. We have no chance to define that the packet filters (in my opinion the sanctum in a firewall configuration) are applied before! 

    I asked Astaro for a solution in the V7.100 beta test - set to "feature request" without an idea for which upcomming version :-(

    So you must define blacklist entries to forbid access to your internal net: all known DNS names and the complete IP-Range, f.e.
    ^http://192\.168\.1\.  if you use the network 192.168.1./24

    I hope this can help.

    regards Juergen
  • 0 in reply to JuergenH
    Try blacklisting that ip range in the http blacklist.

    Ian M