Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 245 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

proxy selection on different networks works

Mast_01
i have ASL with 2 internal lans:
lan 172.16.0.0
worklan 192.168.0.0

LAN has a auth SSO proxy set and is explictly configured hunky-dory
worklan has a transparent proxy action set
global setup is standard proxy no auth

I have a problem that clients on the worklan can configure their browsers with the LAN ip (172.16.0.1:8080) and function fine(and i'm even guessing it bypasses the filter set for the work network too, see my other thread), how can this be?, i don't have any PF rules permitting this kind of access between networks


This thread was automatically locked due to age.
Parents
  • 0
    Good question, Mast.

    Since the traffic is going through the HTTP Proxy, it is not affected by packet filter rules.  I bet they just use the global setup instead of the profile you created. 

    I think you can put the transparent mode in the global setup and move the standard proxy configuration to a profile and that that would solve your problem.

    Then, in order to block the 192.168.0.0 lan from accessing the 172.16.0.0 lan, add the 172.16.0.0 lan to the 'Transparent mode skiplist' and don't check the box to allow access.  If you have other things in there that need access, then you'll need packet filter rules to allow the traffic.  

    I agree that this seems like a bug though.  For some reason, proxies seem to be promiscuous about accepting traffic, but I think you should report this as a bug nonetheless.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    In reality there should be a proxy service running for each internal network to achieve true isolation. That would be consistent with the default block all for all other functions on ASGs.

    Ian M
Reply Children
No Data