Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5365 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HowTo? Segregate 2 LAN's both using the HTTP Proxy?

kury
Currently I have:
WAN: eth0
LAN1: eth1 192.168.1.0/24
LAN2: eth2 192.168.2.0/24
And I have an HTTP Proxy Profile setup for each (separately)

The problem I've been having is that even though I have Pack Filter rules that say to drop traffic going from LAN1 to LAN2 and vise-versa the proxy still lets you browse to 192.168.1.0 webservers from LAN2 & 192.168.2.0 webservers from LAN1.

I tried setting up some creative NAT'ing rules... but it didn't seem to make a difference..
Anyone know how I could pull this off?

Thanks...


This thread was automatically locked due to age.
  • 0 in reply to dilandau
    I've only done this for a local network and dmz where the dmz was not using the http proxy so it was not a problem, guess I overlooked that part of the issue.

    The only other option i can think of is using a regular expression to block users from browsing to IP addresses.

    There is a astaro kb article for v6 on this, you will need to test to see if it works in v7.101.

    http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=114303




    Blocking by IP doesn't stop the traffic if a DNS name is used though, so this doesn't really work either..
  • 0 in reply to addrockk
    Couldn't you deny http packets where source is the proxy server and dest is LAN1. Wouldn't this not allow web browsing via the proxy to LAN1?



    I tried this (as did Astaro Support...)  and it doesn't work the http proxy operates at a higher level above & beyond the reaches of any custom rules... [:(]
  • 0 in reply to kury
    I tried this (as did Astaro Support...)  and it doesn't work the http proxy operates at a higher level above & beyond the reaches of any custom rules... [:(]


    The proxy operates outside the packet filter? Thats back-asswards.
    I find it hard to swallow that the proxy isn't affected by the packet filter rules.
  • 0 in reply to addrockk
    The proxy operates outside the packet filter? Thats back-asswards.
    I find it hard to swallow that the proxy isn't affected by the packet filter rules.



    All the proxies & check boxes to turn things on & off on your firewall have default PF rules & nat rules that are *usually* beyond the reach of the user (manually created rules are placed after these automatic ones).  The reason this is done is so Astaro can be a stupid ppl's firewall/easy to configure..  If the user clicks the little button that says enable such & such... they don't have to ALSO go make the PF/NAT rules to go with it because astaro does it for you...  

    This method works really nice & is a great feature unless you are trying to do stuff that is a little bit more advanced........ Hence my sistuation..
  • 0 in reply to kury
    You can setup all clients to bypass proxy for local address (Lan1 + 2)
    and prevent that users in lan1/2 can change their proxy settings.
    but this is only a poor workaround....

    Gregor Kemter
  • 0 in reply to gkemter
    Bump... (anyone have any ideas?)