Anonymous Proxt that uses SSL.

What version of Astaro?  Do you have Anonymizers blocked?

Oops, sorry I didn't leave specs. I'm running 7.306 and I am blocking Anonymizers .

7.3 does not intercept https traffic, so you can't blacklist this URL.  You should get up to 7.402.  If 7.306 is telling you you should have more RAM, then don't forget to add that first as https scanning does require more resources.

Since this isn't going through the proxy, it's traffic you have allowed in a packet filter rule.  As a stopgap until they find the next one, you can create a packet filter drop rule for https to 74.63.82.148, and position it at the top.  If you had the student/public PCs on a different subnet from the faculty/admin, you could drop all https traffic from the student/public network.

Cheers - Bob

I have installed more memory for the upgrade, but was holding off to make sure 7.4 was reliable. So, what you are saying is that 7.4 can block SSL connection based on the domain name? I would try to add a packet filter, but this proxy site has MANY ip addresses.

I have installed more memory for the upgrade, but was holding off to make sure 7.4 was reliable. So, what you are saying is that 7.4 can block SSL connection based on the domain name? I would try to add a packet filter, but this proxy site has MANY ip addresses.

We make black hole routes to drop ssl proxies. This is a cat and mouse game though and should be looking at other methods to deny this type of traffic. It's only a matter of time before your students find tor or ultraproxy.

Search on 7.4 in the Known Issues List to see if there's anything that would keep you from moving to 7.402.

Cheers - Bob

I just upgraded to 7.402 minutes ago.. I'm back up and running and will leave my master unit running for 1 day. I run in HA mode with two Astaro ASG 320's, and will boot the other unit tomorrow morning if all is well with 7.402.

Now, I have https://www.vtunnel.com in my black list and it is still allowed through. Bob, I thought you mentioned 7.402 can block ssl traffic.

rcochran - can you please give me a example of a black hole rule for ssl traffice? I guess a guide for how I would enter it in the Astaro. Tor and Ultraproxy shouldn't be a issue here since I have taken over as network admin for this district. I have enforced a new rule around here. Staff, Teachers, and Students are users, not part of the Power Users/Admin groups anymroe on the pc's

I got this place on lockdown... [:)]


Hey... I have to, this is a special ed school district, we have gang bangers coming here to learn.

vtunnel.com is blocked by content filter category anonymizers automatically so you don't need any extra blocks.
On a side note, when i am blocking a url, I use vtunnel.com instead of https://www.vtunnel.com that way if they just type https://vtunnel.com or just vtunnel.com on their browser, its still covered.

vtunnel.com is blocked by content filter category anonymizers automatically so you don't need any extra blocks.
On a side note, when i am blocking a url, I use vtunnel.com instead of https://www.vtunnel.com that way if they just type https://vtunnel.com or just vtunnel.com on their browser, its still covered.

That doesn't seem to work on my unit. I just tested it and it is allowed through. Any ideas as to why this would happen?

7.401 / 7.402 would allow you to block the SSL sites.  Just make sure you deploy the CA certs on the Astaro to all your clients before enabling HTTP/S scanning.

7.401 / 7.402 would allow you to block the SSL sites.  Just make sure you deploy the CA certs on the Astaro to all your clients before enabling HTTP/S scanning.

So.. i would achieve this by enabling HTTP/S Profiles and use a GPO to push out the certs? Would this require proxy modification to IE and Firefox?

That doesn't seem to work on my unit. I just tested it and it is allowed through. Any ideas as to why this would happen?

You are using http proxy and all your traffic is going via proxy and your content filter is enabled? You have anonymous proxies blocked in content filter? And you are still able to get to vtunnel.com?[:O]

The thing is once you block a certain site, it doesn't matter if it is http or https it is blocked even if https scanning is not enabled.

You are using http proxy and all your traffic is going via proxy and your content filter is enabled? You have anonymous proxies blocked in content filter? And you are still able to get to vtunnel.com?[:O]

The thing is once you block a certain site, it doesn't matter if it is http or https it is blocked even if https scanning is not enabled.

[:O]  Any clue why this would occur? It also happens with http://www.proxify.com, https://www.proxify.com. If I try to access proxify non SSL site, the content filter DOES block it. However, when I toss in a s in the url I get to it straight away. This would happen on version 7.306 and the new version that I upgraded to today, v 7.402.



Just a update, I tried adding https://www.vtunnel.com/ to the Additional URLs/sites to block list. It still comes through!?!?!

Here is the thing, if a site is in content filter category, it is blocked. You can put http, ftp, https or anything as long as your http proxy has http ftp and https as allowed services. Https scanning doesn't have anything to do with categorization. 

Look at your packet filter log while you surf to a website, there shouldn't be anything in it if you are using the proxy, if there is http/https traffic, you have a packet filter rule that is allowing some traffic to bypass your http/s proxy.

As a workaround you can try this. Create an account at OpenDNS | Providing A Safer And Faster Internet, its free. Choose the categories that you would like to block under settings. Now under astaro dns, use only opendns.com servers as forwarders. Also make sure that you have a rule to deny any DNS query directly to the internet. All DNS queries should come to astaro. This will block everything for sure.