Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 1568 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP/S - Allowed Target Services question

dspender
Before I file for a feature request I just wanted to make sure I understand this correctly.

There is no way to limit by Allowed Target Services by IP/Subnet/Username/Group,etc.

Its sort of an all or nothing list. 

I ask because I have students using the proxy who I'd like to only allow 80 and 443 and nothing else, but then our staff can access whatever is necessary. Sometimes we get an odd request for some library database using a reverse proxy on the other end so its setup to use some crazy port such as:

https://sslvpn.pitt.edu:11018/

Thanks for any input!


This thread was automatically locked due to age.
Parents
  • 0
    Well, not a great answer, but maybe a work-around.

    The 'Allowed target services' apply only when the proxy is addressed directly - when the browser is pointed at the Astaro on port 8080.

    If you create a Proxy Profile for the student network in transparent mode (with or without authentication), the other 'Allowed target services' will be unavailable to them.  If the students are tricky enough to try to point their browsers at the to use it in 'Standard' mode, I think you can block those attempts by using a "blackhole" NAT rule: 'Student (Network) -> HTTP Proxy -> Student (Address) : DNAT to {non-existant}' - but I haven't tried that myself.

    For the staff network, set their profile in Standard or AD-SSO mode, and they will have access to all of the 'Allowed target services'.

    Does that accomplish what you want?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Well, not a great answer, but maybe a work-around.

    The 'Allowed target services' apply only when the proxy is addressed directly - when the browser is pointed at the Astaro on port 8080.

    If you create a Proxy Profile for the student network in transparent mode (with or without authentication), the other 'Allowed target services' will be unavailable to them.  If the students are tricky enough to try to point their browsers at the to use it in 'Standard' mode, I think you can block those attempts by using a "blackhole" NAT rule: 'Student (Network) -> HTTP Proxy -> Student (Address) : DNAT to {non-existant}' - but I haven't tried that myself.

    For the staff network, set their profile in Standard or AD-SSO mode, and they will have access to all of the 'Allowed target services'.

    Does that accomplish what you want?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data