Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 569 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PF precedence and transparent proxy

Mast_01
If i have transparent proxy set for a given network segment and i also have a packet filter rule for all->internet for the same segment, will the stations there bypass the proxy? or does the transparent proxy takes precedence?

What i want to do is transparent proxy for common http/s and PF rule for everything else for this segment(ftp, weird ports, etc), so i figure using an all rule it'll work dandy, or should i make a negated rule(was this possible?, can't remember...) for everything BUT http/s


This thread was automatically locked due to age.
  • 0
    The quickest qay to an answer to your question is simply to test it on your own - surf to the internet and visit a website that is blocked by your web content fileter profile settings. You will see that the website _is_ blocked, this is the proof that the transparent proxy settings have a higher priority than the packetfilter rule setting.

    With other words: it is "safe" to have a pf rule "internal LAN -> internet -> accept"  but in parallell have a transparent proxy for the internal LAN. The proxy with gather all http (and https, if enabled) traffic, the rest will be handled by the pf rule.
  • 0 in reply to Ölm
    With other words: it is "safe" to have a pf rule "internal LAN -> internet -> accept"  but in parallell have a transparent proxy for the internal LAN. The proxy with gather all http (and https, if enabled) traffic, the rest will be handled by the pf rule.


    Just to make it clear:  I am _not_ saying that it´s a good idea to have a pf rule like "internal LAN -> internet -> accept" - it´s a bad idea for sure from security reasons (many trojans, backdoors and spyware tools rely on they can send yout whatever traffic they want, thus you open them their door to the outside!).
    I just wanted to point out that _if_ you have such a rule _and_ you have the transparent http proxy enabled for the LAN, then at least the web traffic (port 80 and 443 (if https scanning enabled) will be controlled by the web proxy - thus beeing virus scanned and content filtered.