Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 5802 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Whitelist for "allowed target services"

astaroz
Hi, 

I am a new user to your product. I cannot find this answer in the documentation, and can't seem to find it on these forums.

There is a website for which I need to allow all services to pass through.
I've tried putting it in the exception list under "web security -> HTTP/S -> URL Filtering -> Always Allow these sites".

I also tried adding all services to it through the rules under network security.

These options do not seem to work.

How can I accomplish this? 

Actually, I would love to still filter the content from this domain, but just allow all services.

Using ASG Release 7.500


This thread was automatically locked due to age.
  • 0
    When you say "all services" do you mean the site has ports other than 80/443?

    Barry
  • 0 in reply to BarryG
    When you say "all services" do you mean the site has ports other than 80/443?

    Barry


    Yes. It uses non-standard ports for many applications/services it provides. However, we need to trust it. And it uses MANY non-standard ports, so it's not like I can just add one or two to the targeted services. Even if it were only 10 ports, I wouldn't want to open those ports to the entire web.
  • 0
    Hmm... I'm not an expert on Astaro's proxy, but you might create a proxy exclusion for that site, and then a DNS Network Definition for the site www.example.com, and a packetfilter rule, e.g.
    source: LAN, dest: www.example.com, service: ANY, allow

    Barry
  • 0 in reply to BarryG
    Hmm... I'm not an expert on Astaro's proxy, but you might create a proxy exclusion for that site, and then a DNS Network Definition for the site Example Web Page, and a packetfilter rule, e.g.
    source: LAN, dest: Example Web Page, service: ANY, allow

    Barry


    Thanks, but I already tried that. That's what I meant when I wrote: "
    I also tried adding all services to it through the rules under network security."
  • 0
    Try:
    Web Security > HTTP/S > Advanced Tab > Allowed target services

    We've used this to allow the astaro to proxy all kinds of different ports like 8080, 8888 etc. Content filters still apply, so we still know that the site is allowed due to website categorizations, and more importantly, the content has been scanned before being presented to users.

    When you just skip proxy for a website, you're exposing your users to the wild, which is a little counter productive.
  • 0
    I wouldn't put 'Any' into 'Allowed target services'!

    Astaroz, I think you missed part of Barry's recommendation.  If you are running in a 'Transparent' mode, go to the 'Web Security >> HTTP/S' 'Advanced' tab and put the "DNS Network Definition for the site www.example.com" into the 'Transparent mode skiplist'.  By the way, in this mode, the Proxy does not handle the items in 'Allowed target services' - only HTTP and, if it's checked on the 'Global' tab, HTTPS.

    If you are in one of the modes that requires pointing the client browsers at the Astaro Proxy, then you'll need to exclude the exclude the website's IPs in the browser configuation.

    In either case, the packet filter rule you made is necessary and sufficient.

    Cheers - Bob
    PS Note to all: if one of Barry's recommendations doesn't work, reread his suggestion, because you probably missed something. (It has happened to me!) [:)]
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA