Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 752 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Http proxy and packet filter

preet
Using Astaro 7.5,we don't have a license for web security feature but we could use the http proxy in transparent mode which seems to come free.
Now i find this of no use other than generating a Web Usage report.The packer filter option does not work when we use http proxy,we cannot block users from accessing a website.With the version 7.0 it worked by defining a false static route to the website which needs to be blocked but with 7.5 it ignores even we define a static route and there is no way to block a website if we use the free http proxy feature.


This thread was automatically locked due to age.
  • 0
    I'm having the same problem.  See page 2 of this thread for a possible solution from BAlfson.
  • 0
    I read this thread but did not exactly understand how to implement this.
    For example i need to block some users from accessing www.abc.com then what DNAT or Packet filter rule should i define and these users are using the http proxy.
    We already have a NAT rule for all LAN users.
  • 0 in reply to preet
    I should have stated that I have not tested this configuration on an firewall with a unlicensed web security, but in principle this should work so long as the proxy is running in transparent mode.  I assume also that you have placed the IP addresses you'd like to block into the transparent skip list (found under Advanced) and that didn't work?

    You won't be able to block a host by the domain name using DNAT.  You should be able to block it by IP address though.  Add the following DNAT rule for each IP range you'd like to block.

    Traffic Source: Internal Network
    Traffic Service: Any
    Traffic Destination: 
    Nat Mode: DNAT
    Destination: 10.0.0.0 (or some other address that doesn't exist)

    This way, whenever one of your users tries to access the IP range it'll instead get sent to an IP address that doesn't exist.
  • 0 in reply to esev
    preet,

    Never mind my last message.  That won't work.  The transparent proxy will get the packets before the DNAT rules get processed.  If the transparent skip list (along with a packet filter rule) doesn't work then I can't think of any other suggestions that will.

    You can try voting for my Filter by IP address in the Web Proxy feature request [:D]