Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5365 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HowTo? Segregate 2 LAN's both using the HTTP Proxy?

kury
Currently I have:
WAN: eth0
LAN1: eth1 192.168.1.0/24
LAN2: eth2 192.168.2.0/24
And I have an HTTP Proxy Profile setup for each (separately)

The problem I've been having is that even though I have Pack Filter rules that say to drop traffic going from LAN1 to LAN2 and vise-versa the proxy still lets you browse to 192.168.1.0 webservers from LAN2 & 192.168.2.0 webservers from LAN1.

I tried setting up some creative NAT'ing rules... but it didn't seem to make a difference..
Anyone know how I could pull this off?

Thanks...


This thread was automatically locked due to age.
Parents
  • 0
    If the http proxy is in transparent mode you can try adding both networks to the "Transparent Mode skiplist" on the advanced tab. Just make sure you uncheck "Allow HTTP traffic for listed host/nets".

    Now traffic between the 2 networks should be skipped from the http proxy and dropped by your packet filter rules.
  • 0 in reply to dilandau
    If the http proxy is in transparent mode you can try adding both networks to the "Transparent Mode skiplist" on the advanced tab. Just make sure you uncheck "Allow HTTP traffic for listed host/nets".

    Now traffic between the 2 networks should be skipped from the http proxy and dropped by your packet filter rules.



    I tried that...  The problem I ran into there was that if I put LAN1 & LAN2 in the allowed networks for the proxy & then added them both to the skip list......... neither gets proxied at all.  [:(]

    It does work however for a one way solution..  Make the default/global proxy for LAN2, skip LAN1 and then make a profile for LAN1. This would leave us with no internal web browsing from LAN2 destined for LAN1, however LAN1 could still get back to LAN2.

    If only they had skip lists under the HTTP profiles... or inherent permissions... OR PF/NAT rules that came before the proxies.

    [:@]
  • 0 in reply to kury
    I've only done this for a local network and dmz where the dmz was not using the http proxy so it was not a problem, guess I overlooked that part of the issue.

    The only other option i can think of is using a regular expression to block users from browsing to IP addresses.

    There is a astaro kb article for v6 on this, you will need to test to see if it works in v7.101.

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=114303
  • 0 in reply to dilandau
    Couldn't you deny http packets where source is the proxy server and dest is LAN1. Wouldn't this not allow web browsing via the proxy to LAN1?
  • 0 in reply to dilandau
    I've only done this for a local network and dmz where the dmz was not using the http proxy so it was not a problem, guess I overlooked that part of the issue.

    The only other option i can think of is using a regular expression to block users from browsing to IP addresses.

    There is a astaro kb article for v6 on this, you will need to test to see if it works in v7.101.

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=114303




    Blocking by IP doesn't stop the traffic if a DNS name is used though, so this doesn't really work either..
  • 0 in reply to addrockk
    Couldn't you deny http packets where source is the proxy server and dest is LAN1. Wouldn't this not allow web browsing via the proxy to LAN1?



    I tried this (as did Astaro Support...)  and it doesn't work the http proxy operates at a higher level above & beyond the reaches of any custom rules... [:(]
  • 0 in reply to kury
    I tried this (as did Astaro Support...)  and it doesn't work the http proxy operates at a higher level above & beyond the reaches of any custom rules... [:(]


    The proxy operates outside the packet filter? Thats back-asswards.
    I find it hard to swallow that the proxy isn't affected by the packet filter rules.
  • 0 in reply to addrockk
    The proxy operates outside the packet filter? Thats back-asswards.
    I find it hard to swallow that the proxy isn't affected by the packet filter rules.



    All the proxies & check boxes to turn things on & off on your firewall have default PF rules & nat rules that are *usually* beyond the reach of the user (manually created rules are placed after these automatic ones).  The reason this is done is so Astaro can be a stupid ppl's firewall/easy to configure..  If the user clicks the little button that says enable such & such... they don't have to ALSO go make the PF/NAT rules to go with it because astaro does it for you...  

    This method works really nice & is a great feature unless you are trying to do stuff that is a little bit more advanced........ Hence my sistuation..
  • 0 in reply to kury
    You can setup all clients to bypass proxy for local address (Lan1 + 2)
    and prevent that users in lan1/2 can change their proxy settings.
    but this is only a poor workaround....

    Gregor Kemter
Reply Children