Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] Possible bug in HTTP-proxy

lejzer
Hi, 

I've noticed a strange thing today. First our setup:

ASG 7.405 with lots of VLANs and transparent HTTP proxy. 

In our place we have many different companies accessing internet behind our ASG. I've configured every company on different LANs using VLANS. 

Now i've discovered that every company that uses our http-proxy can access any of the other VLANs printers (webinterface) on the different VLANS, even though i've setup rules like this:

LAN2 > service: any > LAN1- drop/reject

Example:

LAN1: 192.168.2.x
LAN2: 192.168.10.x
LAN1 printer: 192.168.2.114

Users on LAN2: can browse to http://192.168.2.*** and access the webinterface of the printer. This shouldn't be working since i have PF-rules denying access. Somehow the proxy seem to override these rules

But, if i remove the company's LAN from the proxy, and add HTTP as a packetfilter rule, then they can't access our printers webinterface.

So, what's the deal here? Why is the proxy overriding these rules making it insecure?

Any ideas?

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    Well I am no expert, but if they are logged into the proxy and you want packet filters rules to apply to some things, those things must be listed in the Skip transparent mode hosts/nets.  This will bypass the proxy for these networks and apply only the packet filter rules. 

    Of course, when using a VLAN this advice could be COMPLETELY wrong...


    Add all of your networks in CIDR notation to this skiplist.  192.168.0.0/24, 192.168.1.0/24 etc.  Then if they try to get to one of these IP's the request will bypass the proxy and go to the packet filter rules. To keep from blocking themselves from their own IP's, I think you will have to make a rule for each network to block only the other networks. 
    192.168.0.0/24 ---> 192.168.1.0/24, 192.168.2.0/24 DROP  
    192.168.1.0/24 --> 192.168.0.0/24, 192.168.2.0/24 DROP
    192.168.2.0/24 --> 192.168.0.0/24, 192.168.1.0/24 DROP
    That should block all traffic to other networks, but allow their own.

    If I am wrong, someone will let you know! (Great group here!)

    Good  luck,
    C68
Reply
  • 0
    Well I am no expert, but if they are logged into the proxy and you want packet filters rules to apply to some things, those things must be listed in the Skip transparent mode hosts/nets.  This will bypass the proxy for these networks and apply only the packet filter rules. 

    Of course, when using a VLAN this advice could be COMPLETELY wrong...


    Add all of your networks in CIDR notation to this skiplist.  192.168.0.0/24, 192.168.1.0/24 etc.  Then if they try to get to one of these IP's the request will bypass the proxy and go to the packet filter rules. To keep from blocking themselves from their own IP's, I think you will have to make a rule for each network to block only the other networks. 
    192.168.0.0/24 ---> 192.168.1.0/24, 192.168.2.0/24 DROP  
    192.168.1.0/24 --> 192.168.0.0/24, 192.168.2.0/24 DROP
    192.168.2.0/24 --> 192.168.0.0/24, 192.168.1.0/24 DROP
    That should block all traffic to other networks, but allow their own.

    If I am wrong, someone will let you know! (Great group here!)

    Good  luck,
    C68
Children
No Data