Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 5091 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

CNN Live | Octoshape | Without LAN -> ANY= Allow

Alvin
Hi

- I do Not have  LAN -> ANY = Allow rule.
- This is because I want to force traffic over HTTP Proxy.
- One problem I face is I can never get those CNN Live to work. I can get the CNN Video to work but not the Live.
- CNN Live is free sometime during crisis such as the current Tsunami issues.
- I do not mind to "by pass" *.cnn.com from the HTTP Proxy to get this to work as I do understand there are times it is not compatible.
- Problem is even if bypass *.cnn.com from the HTTP Proxy, it does not work too.
- It uses this Octoshape etc which seems to be P2P.
- I disabled IPS, P2P/IM all those settings and still does not work.
- The only way I can get this to work is via a LAN -> ANY = Allow but that is a very bad configuration as it does not control what goes out.
- Any idea ?


This thread was automatically locked due to age.
Parents
  • 0
    to reply to your list:

    1. you are correct

    2. again correct

    3.  This isn't a domain issue but a non-standard port use issue.  You need to look at hte packet filter logs to see what ips are associated with the cnn flash player and then see what port(s) they are using.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Just a update after weeks of try and error.

    1) If I choose to use Octoshape, I must use Standard Proxy on Astaro and configure all the Browsers in IE and Firewall to point to Astaro:8080 and this way Octoshape would use Astaro:8080.

    Somehow I did not managed to get Octoshape to work with Standard Proxy and manually specified across all my applications.

    Personally Standard Proxy is a pain for laptops when it is out of my home thus I am back to Transparent. [H]



    2) if I choose Not to use Octoshape, the Normal CNN Live Adobe Flash Application would Not work in Transparent mode either as confirmed by you and this is due to them not using the standard port 80.
    To solve this problems means to look at the Packet Filter Logs to determine where it connects to and the port.

    This P2P seriously generates a hell lot of logs and as of now, beyond my capability to know how to fix [:@]

    For Astaro, may want to look into this and configure the necessary settings in Astaro just like what you did for windowsupdate, adobe updates etc.

    Reason I think is CNN is simply a website which most people would want to use and if we deploy this in a corporate enviroment and that breaks people access to CNN etc, regardless of the reasons, to them it is just painful and the usual " before you replace the firewall it was fine" would apply .

    I do understand there is a balance between security and usability.
    The painful part this time is the exeptions etc is also not working.

    Yeah I know it is all on CNN side, so many domains involved, Tuner.etc
Reply
  • 0 in reply to William Warren
    Just a update after weeks of try and error.

    1) If I choose to use Octoshape, I must use Standard Proxy on Astaro and configure all the Browsers in IE and Firewall to point to Astaro:8080 and this way Octoshape would use Astaro:8080.

    Somehow I did not managed to get Octoshape to work with Standard Proxy and manually specified across all my applications.

    Personally Standard Proxy is a pain for laptops when it is out of my home thus I am back to Transparent. [H]



    2) if I choose Not to use Octoshape, the Normal CNN Live Adobe Flash Application would Not work in Transparent mode either as confirmed by you and this is due to them not using the standard port 80.
    To solve this problems means to look at the Packet Filter Logs to determine where it connects to and the port.

    This P2P seriously generates a hell lot of logs and as of now, beyond my capability to know how to fix [:@]

    For Astaro, may want to look into this and configure the necessary settings in Astaro just like what you did for windowsupdate, adobe updates etc.

    Reason I think is CNN is simply a website which most people would want to use and if we deploy this in a corporate enviroment and that breaks people access to CNN etc, regardless of the reasons, to them it is just painful and the usual " before you replace the firewall it was fine" would apply .

    I do understand there is a balance between security and usability.
    The painful part this time is the exeptions etc is also not working.

    Yeah I know it is all on CNN side, so many domains involved, Tuner.etc
Children
No Data