Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5365 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HowTo? Segregate 2 LAN's both using the HTTP Proxy?

kury
Currently I have:
WAN: eth0
LAN1: eth1 192.168.1.0/24
LAN2: eth2 192.168.2.0/24
And I have an HTTP Proxy Profile setup for each (separately)

The problem I've been having is that even though I have Pack Filter rules that say to drop traffic going from LAN1 to LAN2 and vise-versa the proxy still lets you browse to 192.168.1.0 webservers from LAN2 & 192.168.2.0 webservers from LAN1.

I tried setting up some creative NAT'ing rules... but it didn't seem to make a difference..
Anyone know how I could pull this off?

Thanks...


This thread was automatically locked due to age.
Parents
  • 0
    If the http proxy is in transparent mode you can try adding both networks to the "Transparent Mode skiplist" on the advanced tab. Just make sure you uncheck "Allow HTTP traffic for listed host/nets".

    Now traffic between the 2 networks should be skipped from the http proxy and dropped by your packet filter rules.
  • 0 in reply to dilandau
    If the http proxy is in transparent mode you can try adding both networks to the "Transparent Mode skiplist" on the advanced tab. Just make sure you uncheck "Allow HTTP traffic for listed host/nets".

    Now traffic between the 2 networks should be skipped from the http proxy and dropped by your packet filter rules.



    I tried that...  The problem I ran into there was that if I put LAN1 & LAN2 in the allowed networks for the proxy & then added them both to the skip list......... neither gets proxied at all.  [:(]

    It does work however for a one way solution..  Make the default/global proxy for LAN2, skip LAN1 and then make a profile for LAN1. This would leave us with no internal web browsing from LAN2 destined for LAN1, however LAN1 could still get back to LAN2.

    If only they had skip lists under the HTTP profiles... or inherent permissions... OR PF/NAT rules that came before the proxies.

    [:@]
  • 0 in reply to kury
    I've only done this for a local network and dmz where the dmz was not using the http proxy so it was not a problem, guess I overlooked that part of the issue.

    The only other option i can think of is using a regular expression to block users from browsing to IP addresses.

    There is a astaro kb article for v6 on this, you will need to test to see if it works in v7.101.

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=114303
  • 0 in reply to dilandau
    Couldn't you deny http packets where source is the proxy server and dest is LAN1. Wouldn't this not allow web browsing via the proxy to LAN1?
  • 0 in reply to dilandau
    I've only done this for a local network and dmz where the dmz was not using the http proxy so it was not a problem, guess I overlooked that part of the issue.

    The only other option i can think of is using a regular expression to block users from browsing to IP addresses.

    There is a astaro kb article for v6 on this, you will need to test to see if it works in v7.101.

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=114303




    Blocking by IP doesn't stop the traffic if a DNS name is used though, so this doesn't really work either..
Reply
  • 0 in reply to dilandau
    I've only done this for a local network and dmz where the dmz was not using the http proxy so it was not a problem, guess I overlooked that part of the issue.

    The only other option i can think of is using a regular expression to block users from browsing to IP addresses.

    There is a astaro kb article for v6 on this, you will need to test to see if it works in v7.101.

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=114303




    Blocking by IP doesn't stop the traffic if a DNS name is used though, so this doesn't really work either..
Children
No Data