Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2113 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Lockdown Astaro

joequick
I am using the HTTP/s proxy and AD Auth

I discovered a major gaff a little while ago where for some reason a computer didnt have the disable changing proxy settings enabled and basically had full access to everything. Boy I was pissed!!

Instead of firing myself[:(], I need to know how to lock down the Astaro so no HTTP/s traffic is allowed is leave the network unless it goes thru the Proxy unless a rule is setup allowing it to bypass the proxy.

Is this as easy as setting up a PF rule blocking all traffic 
Any >> Any >> Any >> Reject   ???
Of course this would be the last PF rule.

If so what is the difference between Reject and Drop ??


This thread was automatically locked due to age.
  • 0
    Is this as easy as setting up a PF rule blocking all traffic 
    Any >> Any >> Any >> Reject ???
    Of course this would be the last PF rule

    That's the default last rule in any case.  You must have a PF rule allowing this traffic.  Can you post a few lines from the Content Filter (HTTP) log to show what sneaked through?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I dont think anything snuck thru.

    Its just that if you use the proxy with AD Auth and uncheck the use proxy connection settings.... bang.. you can go anywhere and do anything.

    No VS or filtering.

    I figure that I missed setting something up a year ago.
    Maybe i need to block port 80?


    change the browsers proxy settings and check the auto detect connections settings to
  • 0
    Hi, 
    What are your packetfilter rules?

    Barry
  • 0
    Hi Barry,

    Here they are in order...
    #1 BlockedNetworks >> Any >> Any >> Drop
    #2 Any >> Any >> BlockedNetworks  >> Drop
    #3 MyPC >> Port *** >> Any >> Allow (Connect to my PC at home)
    #4 MyPC >> Any >> LocalNetwork >> Allow
    #5 Router >> Any >> Any >> Allow (see note1 below)
    #6 InternalNetwork >> (IMAP,POP,SMTP) >> Any >> Allow (Added by installation wizard)
    #7 Lan >> (HTTP Proxy,HTTP, HTTP WebCache, HTTPS) >> Any >> (Allow Added by installation wizard)
    #8 Lan >> Any >> InternalBroadCast >> Allow
    #9 InternalNetwork >> SSH >> InternalAddress >> Allow
    #10 LAN >> DNS >> Any >> Allow
    #11 LAN >> NTP >> Any >> Allow
    #12 LAN >> PING >> Any >> Allow
    #13 RemoteOffices >> Any >> Any >> Allow

    Damn Barry...you the man!!
    I should have done this in the first place.
    I believe that #7 above is the culprit.. (but I am sure there is a reason its there. I will test further.)

    **Note1** the router is an old cisco router that use to be used for FrameRelay to other oraffices. The frame is dead i cut the wires my self. But all computers use it for their gateway. just too lazy to change it)

    **Note2** #13 doesnt good either. Not sure why that one is there ATM. But the computer in question is note at remote office.
  • 0 in reply to joequick
    You spotted it... you need to "clean up" your packetfilter rules.  Looks like you have the situation well in hand.

    If you like, you can leave that port 80 outbound rule in there, just define a Proxy profile in Transparent mode that will be default if users don't have their browsers configured.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to joequick
    #5 may be a problem as well; if the Cisco router is doing NAT/PAT then you're allowing ALL internal traffic which goes through it to go out through Astaro.

    Barry
  • 0 in reply to BarryG
    Thanks for your replies guys.

    Bruce: I removed the HTTP from #5 and my hole is now closed.

    Barry: The router basically just points to other subnets and hosts for DNS. I have attached the config file with the old frame-relay stuff removed.

    I now have an issue with WindowsUpdate not working.
    IP #s being snagged by the PF on port 80 they seems to be going to MicroSoft and LimeLight Networks???
  • 0
    I dont think that you have to have

    #10 LAN >> DNS >> Any >> Allow
    #11 LAN >> NTP >> Any >> Allow

    since NTP,DNS are allowed on the nework if defined under DNS and NTP tab. I don't have any NTP,DNS rule and I have no issue receiving DNS and NTP entries for the host defined
  • 0 in reply to wingman
    I agree, but that does require "correct" configuration of internal DNS requestors.  We aim all devices at the internal name server, then it is aimed at the Astaro, and the Astaro is aimed at the local name servers provided by the ISP.  NTP is set the same way.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA