Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5363 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HowTo? Segregate 2 LAN's both using the HTTP Proxy?

kury
Currently I have:
WAN: eth0
LAN1: eth1 192.168.1.0/24
LAN2: eth2 192.168.2.0/24
And I have an HTTP Proxy Profile setup for each (separately)

The problem I've been having is that even though I have Pack Filter rules that say to drop traffic going from LAN1 to LAN2 and vise-versa the proxy still lets you browse to 192.168.1.0 webservers from LAN2 & 192.168.2.0 webservers from LAN1.

I tried setting up some creative NAT'ing rules... but it didn't seem to make a difference..
Anyone know how I could pull this off?

Thanks...


This thread was automatically locked due to age.
  • 0
    You'll need to setup proxy profiles with rules to block the servers.

    Barry
  • 0 in reply to BarryG
    Barry I've never needed to use a generic proxy and I'm not really sure where/when they are used...   Would you mind explaining the settings I would need for such a setup as mine?

    Thanks
  • 0 in reply to kury
    when using the proxy, wouldn't all traffic look like it's comming from eth0?
  • 0 in reply to kury
    Barry I've never needed to use a generic proxy and I'm not really sure where/when they are used...   Would you mind explaining the settings I would need for such a setup as mine?


    I'm not talking about the generic proxies, I'm talking about the http proxy/content filter.

    You should have, at a minimum, a profile for each group of users.

    roughly:
    group 1 can access internet sites, but is blocked from accessing EACH server in the other LAN
    You'll need to define EACH server by name and by IP, I believe.

    ditto for group 2


    Barry
  • 0 in reply to BarryG
    AHhh I see, I miss understood you.   Ya I've done that but its not a single web server on any of my networks and I don't always know where/what the IP's will be (or DNS for that matter)  plus there is no reason someone couldn't setup there own public domain and have it return the internal IP address to get to a webserver (I can't block domains I don't know about).

    I'm looking for an absolute guaranteed solution that nothing from lan1 will get into lan2 or versa-vise. I need a way to only allow the HTTP Proxy to access sites out on the WAN because currently it just assumes that anyone granted access to use the HTTP Proxy anywhere on any network has access to anywhere on any network via port 80........ (which isn't cool at all in a production enviroment.


    Thx
  • 0 in reply to kury
    For "absolutely guaranteed", this is all I can think of: separate proxy server in DMZ (another ASL box or whatever).

    This assumes you have internal DNS or do not need users to access internal servers through the proxy

    Put it in a DMZ, and DO NOT ALLOW it to talk to ANY internal servers, unless you want ANY internal user to be able to get to those servers.
    Do this by setting up packetfilter rules on the main firewall, not on the DMZ proxy.


          Proxy
            |
    LAN1 - ASL - LAN2
            |
           WAN


    Or, 2 separate ASL boxes:


    LAN1 - ASL1   ASL2 - LAN2
               \ /
               WAN
              Router       


    Barry
  • 0
    If the http proxy is in transparent mode you can try adding both networks to the "Transparent Mode skiplist" on the advanced tab. Just make sure you uncheck "Allow HTTP traffic for listed host/nets".

    Now traffic between the 2 networks should be skipped from the http proxy and dropped by your packet filter rules.
  • 0 in reply to dilandau
    If the http proxy is in transparent mode you can try adding both networks to the "Transparent Mode skiplist" on the advanced tab. Just make sure you uncheck "Allow HTTP traffic for listed host/nets".

    Now traffic between the 2 networks should be skipped from the http proxy and dropped by your packet filter rules.



    I tried that...  The problem I ran into there was that if I put LAN1 & LAN2 in the allowed networks for the proxy & then added them both to the skip list......... neither gets proxied at all.  [:(]

    It does work however for a one way solution..  Make the default/global proxy for LAN2, skip LAN1 and then make a profile for LAN1. This would leave us with no internal web browsing from LAN2 destined for LAN1, however LAN1 could still get back to LAN2.

    If only they had skip lists under the HTTP profiles... or inherent permissions... OR PF/NAT rules that came before the proxies.

    [:@]
  • 0 in reply to kury
    I've only done this for a local network and dmz where the dmz was not using the http proxy so it was not a problem, guess I overlooked that part of the issue.

    The only other option i can think of is using a regular expression to block users from browsing to IP addresses.

    There is a astaro kb article for v6 on this, you will need to test to see if it works in v7.101.

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=114303
  • 0 in reply to dilandau
    Couldn't you deny http packets where source is the proxy server and dest is LAN1. Wouldn't this not allow web browsing via the proxy to LAN1?