Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] Possible bug in HTTP-proxy

lejzer
Hi, 

I've noticed a strange thing today. First our setup:

ASG 7.405 with lots of VLANs and transparent HTTP proxy. 

In our place we have many different companies accessing internet behind our ASG. I've configured every company on different LANs using VLANS. 

Now i've discovered that every company that uses our http-proxy can access any of the other VLANs printers (webinterface) on the different VLANS, even though i've setup rules like this:

LAN2 > service: any > LAN1- drop/reject

Example:

LAN1: 192.168.2.x
LAN2: 192.168.10.x
LAN1 printer: 192.168.2.114

Users on LAN2: can browse to http://192.168.2.*** and access the webinterface of the printer. This shouldn't be working since i have PF-rules denying access. Somehow the proxy seem to override these rules

But, if i remove the company's LAN from the proxy, and add HTTP as a packetfilter rule, then they can't access our printers webinterface.

So, what's the deal here? Why is the proxy overriding these rules making it insecure?

Any ideas?

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    Hi and thanks for your replies,

    Coder68: This sounds like a solution, but i'm not at work at the moment, so i have to wait till i get there and try your suggestions. Thank you very much!

    Bob: That document sounds interesting too, i will send you an PM about this. I got a question though:

    "The general idea is that you need a separate HTTP Profile in Standard (or other non-transparent) mode for each customer. The main HTTP setup is in Transparent mode, blocks everything and includes all VLANs in the transparent mode skiplist with 'Allow HTTP traffic for listed hosts/nets' not checked."

    I'm not sure i understand you on this one. We're using transparent proxy for us and every costumer. So what should be in the skiplist? Nothing, right? And 'Allow HTTP traffic for listed hosts/nets' should not be checked?

    "Customers wishing to access the Internet will need to point their browsers at the Astaro Proxy and select the option to 'Bypass the proxy for local addresses'."

    Is the above a must? We need to use the proxy in transparent mode for everyone.

    Another view: If i totally skip the proxy for the companies, do i still need to remove their networks from the dns-proxy? 

    Thank you!
Reply
  • 0
    Hi and thanks for your replies,

    Coder68: This sounds like a solution, but i'm not at work at the moment, so i have to wait till i get there and try your suggestions. Thank you very much!

    Bob: That document sounds interesting too, i will send you an PM about this. I got a question though:

    "The general idea is that you need a separate HTTP Profile in Standard (or other non-transparent) mode for each customer. The main HTTP setup is in Transparent mode, blocks everything and includes all VLANs in the transparent mode skiplist with 'Allow HTTP traffic for listed hosts/nets' not checked."

    I'm not sure i understand you on this one. We're using transparent proxy for us and every costumer. So what should be in the skiplist? Nothing, right? And 'Allow HTTP traffic for listed hosts/nets' should not be checked?

    "Customers wishing to access the Internet will need to point their browsers at the Astaro Proxy and select the option to 'Bypass the proxy for local addresses'."

    Is the above a must? We need to use the proxy in transparent mode for everyone.

    Another view: If i totally skip the proxy for the companies, do i still need to remove their networks from the dns-proxy? 

    Thank you!
Children
No Data