Anonymous Proxt that uses SSL.

7.401 / 7.402 would allow you to block the SSL sites.  Just make sure you deploy the CA certs on the Astaro to all your clients before enabling HTTP/S scanning.

So.. i would achieve this by enabling HTTP/S Profiles and use a GPO to push out the certs? Would this require proxy modification to IE and Firefox?

That doesn't seem to work on my unit. I just tested it and it is allowed through. Any ideas as to why this would happen?

You are using http proxy and all your traffic is going via proxy and your content filter is enabled? You have anonymous proxies blocked in content filter? And you are still able to get to vtunnel.com?[:O]

The thing is once you block a certain site, it doesn't matter if it is http or https it is blocked even if https scanning is not enabled.

You are using http proxy and all your traffic is going via proxy and your content filter is enabled? You have anonymous proxies blocked in content filter? And you are still able to get to vtunnel.com?[:O]

The thing is once you block a certain site, it doesn't matter if it is http or https it is blocked even if https scanning is not enabled.

[:O]  Any clue why this would occur? It also happens with http://www.proxify.com, https://www.proxify.com. If I try to access proxify non SSL site, the content filter DOES block it. However, when I toss in a s in the url I get to it straight away. This would happen on version 7.306 and the new version that I upgraded to today, v 7.402.



Just a update, I tried adding https://www.vtunnel.com/ to the Additional URLs/sites to block list. It still comes through!?!?!

Here is the thing, if a site is in content filter category, it is blocked. You can put http, ftp, https or anything as long as your http proxy has http ftp and https as allowed services. Https scanning doesn't have anything to do with categorization. 

Look at your packet filter log while you surf to a website, there shouldn't be anything in it if you are using the proxy, if there is http/https traffic, you have a packet filter rule that is allowing some traffic to bypass your http/s proxy.

As a workaround you can try this. Create an account at OpenDNS | Providing A Safer And Faster Internet, its free. Choose the categories that you would like to block under settings. Now under astaro dns, use only opendns.com servers as forwarders. Also make sure that you have a rule to deny any DNS query directly to the internet. All DNS queries should come to astaro. This will block everything for sure.

Billybob, are you certain that the proxy applies the content filter to HTTPS if that is an allowed target service?  I can understand the proxy being allowed to access https, but not that it would pro-actively capture port 443 traffic when in transparent mode.  I've never looked at this possibiity before - are you sure you've seen this behavior?

I just now turned on the Live Log and did some stuff with PayPal.  All the Content Filter saw was my first access to http://www.paypal.com/.  After that, the traffic was invisible to it because I'm in Transparent Mode and have HTTPS scanning disabled.

So, I'm confused.  What am I not understanding?

Cheers - Bob

jburke - what mode is the http proxy in?

It sounds like you have it in transparent mode which will only be filtering port 80 or http traffic. If it was in standard or user auth mode then it would filter like billybob mentioned. The other option is to enable the new https scanning in 7.402.

Bob sorry for not clarifying. If the proxy is in standard mode, all your initial connections are handled by the proxy as long as the service is in allowed services. So the content filter is applied to the url as long as you enter it.

If the link existed on a https page, ofcourse the proxy won't see it but it will filter all the urls entered manually as long as it is in standard mode (probably anything other than transparent would work like this).

jburke - what mode is the http proxy in?

Thanks dilandau, I assumed he was using regular proxy throughout. I bet its transparent proxy. Still nothing that a quick group policy can't fix. Change IE settings for all users to use http proxy in Active directory. Of course it won't work if they are using firefox but its a school and jburke seems to be running it like my old head master.

Have you ticked the box for 'Scan HTTPS (SSL) Traffic' on the 'Global' tab?

jburke - what mode is the http proxy in?

It sounds like you have it in transparent mode which will only be filtering port 80 or http traffic. If it was in standard or user auth mode then it would filter like billybob mentioned. The other option is to enable the new https scanning in 7.402.

I am in Transparent mode.

Have you ticked the box for 'Scan HTTPS (SSL) Traffic' on the 'Global' tab?

[:$] I didn't see that new feature. I ticked the "Scan HTTPS (SSL) Traffic" box and it has blocked the ssl proxy site. [[:D]] The only thing now is, the "Content Blocked" page displays strangely in the browser. Before the site attempts to load a prompt comes up warning the cert is invalid. Once you accept it, the "Content blocked" webpage comes up, there aren't any images displayed. Looks like this. [[:D]] And thank you everyone for helping me out with this!!

Screen shot.jpg