Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3744 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to identify reason for blocking

ciscoman
Hi,
looking into my Web Security log there are a couple of sites which are blocked and I don' t know the reason why.
The proxy is really simply configured with the option
Allow content that does not match the criteria below.(there are some exceptions). Anti Virus is active.


example:
2010:03:29-00:38:48 ASG httpproxy[4738]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.16.208.68" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2264" time="65057 ms" request="0xb0309178" url="example1.com" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized"

2010:03:29-00:52:28 ASG httpproxy[4738]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="10.16.208.63" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2196" time="3 ms" request="0xa6036730" url="other-example2.com/.../Hardware"



Is there a best practice to identify the blocking reason? Is the are category list available? The Astaro Web Filtering Site Test is not an option, because the URL might be internal ones.

Thanks
Cheers,


This thread was automatically locked due to age.
Parents
  • 0
    I think these are two different issues.  In any case, when Astaro blocks something for a reason, there is a reason= field in the log line.  So, it wasn't the Astaro in either case.

    In the first one, you see: size="2264" time="65057 ms".  This seems to indicate that the target doesn't like something.  Sometimes this can be resolved by creating an exception for anti-virus.

    In the second, you see: statuscode="502".  This may well be a misconfigured server.  I don't know if the underlying problem has been resolved in the current version, but some were helped in this case by doing the following at the command line:

    # cc set http response_timeout 600
    # cc set http tunnel_timeout 1300 


    In both cases, skipping the proxy for connecting with these servers is a solution.  Depending on the mode you're using for the proxy, that's either the 'Transparent mode skiplist' or proxy settings in the user's browsers.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I think these are two different issues.  In any case, when Astaro blocks something for a reason, there is a reason= field in the log line.  So, it wasn't the Astaro in either case.

    In the first one, you see: size="2264" time="65057 ms".  This seems to indicate that the target doesn't like something.  Sometimes this can be resolved by creating an exception for anti-virus.

    In the second, you see: statuscode="502".  This may well be a misconfigured server.  I don't know if the underlying problem has been resolved in the current version, but some were helped in this case by doing the following at the command line:

    # cc set http response_timeout 600
    # cc set http tunnel_timeout 1300 


    In both cases, skipping the proxy for connecting with these servers is a solution.  Depending on the mode you're using for the proxy, that's either the 'Transparent mode skiplist' or proxy settings in the user's browsers.

    Cheers - Bob


    Hi, I will try the solution with the transparent mode skiplist. However, there might be misconfigured server, but should the Astao send the HTTP_502 to the requester instead of blocking the access?
    Thanks for help
    Cheers
Reply
  • 0 in reply to BAlfson
    I think these are two different issues.  In any case, when Astaro blocks something for a reason, there is a reason= field in the log line.  So, it wasn't the Astaro in either case.

    In the first one, you see: size="2264" time="65057 ms".  This seems to indicate that the target doesn't like something.  Sometimes this can be resolved by creating an exception for anti-virus.

    In the second, you see: statuscode="502".  This may well be a misconfigured server.  I don't know if the underlying problem has been resolved in the current version, but some were helped in this case by doing the following at the command line:

    # cc set http response_timeout 600
    # cc set http tunnel_timeout 1300 


    In both cases, skipping the proxy for connecting with these servers is a solution.  Depending on the mode you're using for the proxy, that's either the 'Transparent mode skiplist' or proxy settings in the user's browsers.

    Cheers - Bob


    Hi, I will try the solution with the transparent mode skiplist. However, there might be misconfigured server, but should the Astao send the HTTP_502 to the requester instead of blocking the access?
    Thanks for help
    Cheers
Children
No Data