Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] Possible bug in HTTP-proxy

lejzer
Hi, 

I've noticed a strange thing today. First our setup:

ASG 7.405 with lots of VLANs and transparent HTTP proxy. 

In our place we have many different companies accessing internet behind our ASG. I've configured every company on different LANs using VLANS. 

Now i've discovered that every company that uses our http-proxy can access any of the other VLANs printers (webinterface) on the different VLANS, even though i've setup rules like this:

LAN2 > service: any > LAN1- drop/reject

Example:

LAN1: 192.168.2.x
LAN2: 192.168.10.x
LAN1 printer: 192.168.2.114

Users on LAN2: can browse to http://192.168.2.*** and access the webinterface of the printer. This shouldn't be working since i have PF-rules denying access. Somehow the proxy seem to override these rules

But, if i remove the company's LAN from the proxy, and add HTTP as a packetfilter rule, then they can't access our printers webinterface.

So, what's the deal here? Why is the proxy overriding these rules making it insecure?

Any ideas?

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    I think the Customers can choose.  If they don't mind having their printers and other port 80/443 devices visible to the other customers, they can stay in transparent mode.  If they don't want the devices available, they will need to change to a non-transparent mode so you can put their VLAN in the skiplist.  It's just the nature of how Transparent mode has to work.

    I suppose the other alternative they could choose would be to NOT be protected by the Astaro's Anti-Spam and Anti-Virus engines.

    In any case, if you have any DNS static entries, someone using the transparent proxy could access that device, so there's no good reason to let them use your Astaro's DNS.  You're right that you don't need to worry about DNS if you skip the proxy for them, but, remember that they always can access the proxy by pointing their browser at it. 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I think the Customers can choose.  If they don't mind having their printers and other port 80/443 devices visible to the other customers, they can stay in transparent mode.  If they don't want the devices available, they will need to change to a non-transparent mode so you can put their VLAN in the skiplist.  It's just the nature of how Transparent mode has to work.

    I suppose the other alternative they could choose would be to NOT be protected by the Astaro's Anti-Spam and Anti-Virus engines.

    In any case, if you have any DNS static entries, someone using the transparent proxy could access that device, so there's no good reason to let them use your Astaro's DNS.  You're right that you don't need to worry about DNS if you skip the proxy for them, but, remember that they always can access the proxy by pointing their browser at it. 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    A word of caution when using the transparent mode skiplist, b/c it affects both source and destination. So if you add for example LAN1 to the list the none of the traffic will be filtered by the http proxy. If you add just the IP of the printer, then just the printer will no longer be filtered by the http proxy.

    I know in v6 you could use reg ex to block the private IP addresses, but I haven't played with this in v7 but there may be a knowledgebase article about it.