Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 6110 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot determine from logs why "Connectinon refused"

FormerMember
FormerMember
Hi,
I've been trying to set up Proxy Profiles onthe AWG4000 model we purchased, and I'm not able to determine where it's going wrong by looking at the log output.
I successfully set up A/D and have pre-fetched users in a group. I know that authentication is working, and the device is joined to the domain. 
I set up a proxy profile that looks at traffic coming from my subnet, and allows me to access sites, except for one, I blocked Facebook. I set up the default fallback action to block any access. I'm using my own account to access the profile.
When I use the AWG as a proxy and hit Facebook, I get the message that connection is refused. When I hit Google, I again get the message that the connection is refused. 
I'm trying to determine the cause, whether it's not authenticating me properly and using the fallback, or some other issue.
In the HTTP Content filter log I see this pattern repeated
First this:
2009:03:17-13:54:42 SHAWG4000A httpproxy[4222]: [ 0x80ccfb0] send_request_headers (request.c:167) write: Connection refused

Then my username and source IP in another message:
2009:03:17-13:54:42 SHAWG4000A httpproxy[4222]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.16.208" user="gmoonadm" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2919" time="4966 ms" request="0x80ccfb0" url="www.facebook.com/" exceptions="" error="Connection refused" category="9999" categoryname="Categorization failed"

Then a series of 5 of the following messages:
2009:03:17-13:54:42 SHAWG4000A httpproxy[4222]: [ (nil)] sc_handle_cmd (scr_scanner.c:510) write: Connection refused

Then, another one of these as it can't pull up the search page:
2009:03:17-13:54:42 SHAWG4000A httpproxy[4222]: [ 0x80ccfb0] sc_categorize_url (scr_scanner.c:939) no categorization received for url: www.facebook.com - Google Search
2009:03:17-13:54:42 SHAWG4000A httpproxy[4222]: [ 0x80ccfb0] send_request_headers (request.c:167) write: Connection refused
2009:03:17-13:54:42 SHAWG4000A httpproxy[4222]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.16.208" user="gmoonadm" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3129" time="60 ms" request="0x80ccfb0" url="http : //www.google.com/search? q=www .facebook.com&rls=com.microsoft:*&ie=UTF-8&oe=UTF-8&startIndex=&startPage=1" exceptions="" error="Connection refused" category="9999" categoryname="Categorization failed" 

And now, I've found this same result no matter what proxy rules I set. I also disabled checking for uncategorized sites, but this didn't make a difference.
 Can someone shed some light on this "Connection refused" message? I have verified with our network administrator that he's not blocking any ports on the External interface of the AWG 4000, and that 1500 MTU is probably a good setting.
Thanks


This thread was automatically locked due to age.
  • FormerMember
    0 FormerMember in reply to BAlfson
    This is a Web Gateway... does it even have that feature? NAT is being performed by Cisco ASA at the perimeter.
  • 0 in reply to FormerMember
    So, what are the IP addresses of the internal and external interfaces?  192.168.x.a and 192.168.y.b, or are they bridged?  When you disable the proxy and put in a packet filter rule 'Any -> Any -> Any', can you get out?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • FormerMember
    0 FormerMember in reply to BAlfson
    I guess it was more basic than I was looking... My network admin pointed out to me that we are heavily subnetted, and in fact, I will need to define static routes from all of our client subnets through the box. As soon as we created the static route from the client subnet, it worked. I had been thinking in terms of a flat structure (which is not the reality of what we have here). Thanks for your suggestions.
  • 0 in reply to FormerMember
    Great!  It sounds like you've done an exceptional job of understanding the use of HTTP/S Proxy Profiles in an AD environment.

    Depending on your physical topology, you might be able to use an interface route instead of having to fiddle endlessly with multiple subnets.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • FormerMember
    0 FormerMember in reply to BAlfson
    That's interesting. So, with the interface route, wouldn't I still have to specify, for example, 172.16.x.0 goes through the Internal interface, and 172.18.x.0 also goes through the interface, etc.? The box resides on 172.17.2.0 which is reserved for a DMZ of sorts.
  • 0 in reply to FormerMember
    You don't have that many subnets anyway, so there's no point in playing with the "trick" I learned here last year.  Basically, it's to minimize the number of rules that one has to create by lumping everything together in a network definition like the following which was made for the other interface (and makes more sense for it):

    Name: Internet
    Type: Network
    Address: 0.0.0.0
    Interface: External
    Netmask: 0.0.0.0

    I had a different thought - I haven't tried it in a situation where the Astaro isn't on the perimeter, but I wonder if you couldn't just just define 172.17.2.?/255.252.0.0 for your Internal interface, activate the HTTP Proxy with 'Internal (Network)' and be done without writing any routes.  Assuming, of course, that the External interface and the perimeter firewall aren't in 172.16.0.0/14.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • FormerMember
    0 FormerMember in reply to BAlfson
    More good tips! I guess we won't be able to do that sort of CIDR grouping because there are certain address ranges for department that we need to have different access rules for. About all we can use that for is the permission to use the proxy at the global level. For example, we have a department where we restrict the PC's from even getting to the Internet, and we'll do that by their IP range, so that even if someone is given access to the Internet via a group membership; on THOSE computers, they can't get there.
  • 0 in reply to FormerMember
    All my /14 suggestion does is get rid of the need to write a bunch of routes and packet filter rules.

    You can still create network definitions for the different subnets and use them to create Proxy Profiles.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA