Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 651 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sick of using HTTP Proxy

ScottG
I've been using the HTTP proxy with user authentication for a couple years now and I'm to the point where it's more trouble than it's worth.  I've had so many things not work and it's frequently difficult to make rules that get around it.  More often than not I can't figure out the necessary packet filter rule because the packet filter log isn't showing me what's blocked. 

I don't think I can switch to transparent proxy because that only allows port 80 traffic.  Is that correct?  So everything that uses a different port will stop working. 

I was thinking of disabling http proxy altogether, but I guess then I'd lose out on virus and content filtering, right?

Is there a way to keep the virus and content filtering, but not use HTTP Proxy?

--Scott


This thread was automatically locked due to age.
Parents
  • 0
    No, the transparent proxy definetively only works for standard HTTPs (port 80) traffic, and - if activated "HTTPS content scanning - for HTTPS (port 443) traffic. 

    No other ports will be transparently redirected to the proxy. For all other ports you want to get through the fw, you have to have packetfilterrules.

    YOu can proof this by looking at the automatically created iptables REDIRECT rules:

    asg:/var/log # iptables -L -nv -t nat|grep REDIR
        0     0 REDIRECT   tcp  --  *      *       172.30.2.90          0.0.0.0/0           tcp spts:1:65535 dpt:80 ADDRTYPE match dst-type !LOCAL redir ports 8080
        0     0 REDIRECT   tcp  --  *      *       172.30.2.77          0.0.0.0/0           tcp spts:1:65535 dpt:80 ADDRTYPE match dst-type !LOCAL redir ports 8080
        0     0 REDIRECT   tcp  --  *      *       172.30.2.90          0.0.0.0/0           tcp spts:1:65535 dpt:443 ADDRTYPE match dst-type !LOCAL redir ports 8080
        0     0 REDIRECT   tcp  --  *      *       172.30.2.77          0.0.0.0/0           tcp spts:1:65535 dpt:443 ADDRTYPE match dst-type !LOCAL redir ports 8080

    The "allowed services" configuration in the advanced tab is not having any influence on this.
Reply
  • 0
    No, the transparent proxy definetively only works for standard HTTPs (port 80) traffic, and - if activated "HTTPS content scanning - for HTTPS (port 443) traffic. 

    No other ports will be transparently redirected to the proxy. For all other ports you want to get through the fw, you have to have packetfilterrules.

    YOu can proof this by looking at the automatically created iptables REDIRECT rules:

    asg:/var/log # iptables -L -nv -t nat|grep REDIR
        0     0 REDIRECT   tcp  --  *      *       172.30.2.90          0.0.0.0/0           tcp spts:1:65535 dpt:80 ADDRTYPE match dst-type !LOCAL redir ports 8080
        0     0 REDIRECT   tcp  --  *      *       172.30.2.77          0.0.0.0/0           tcp spts:1:65535 dpt:80 ADDRTYPE match dst-type !LOCAL redir ports 8080
        0     0 REDIRECT   tcp  --  *      *       172.30.2.90          0.0.0.0/0           tcp spts:1:65535 dpt:443 ADDRTYPE match dst-type !LOCAL redir ports 8080
        0     0 REDIRECT   tcp  --  *      *       172.30.2.77          0.0.0.0/0           tcp spts:1:65535 dpt:443 ADDRTYPE match dst-type !LOCAL redir ports 8080

    The "allowed services" configuration in the advanced tab is not having any influence on this.
Children
No Data