Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1261 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trying to understand blocking

JonEtkins
Hi, folks.

I'm trying out the web proxy, with a view to protecting some family members from themselves.  Testing while the family is out of the house today, I've turned on transparent proxying, with Antivirus/Malware disabled, and URL filtering set to Allow with no Block boxes checked.

It works for the most part, but I'm seeing a couple of sites getting blocked, and I don't understand why, given the above settings. 

2010:04:21-12:07:29 astaro httpproxy[2609]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="61808 ms" request="0x8969f78" url="api.wunderground.com/.../index.xml

2010:04:21-12:22:52 astaro httpproxy[2609]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.9" user="" statuscode="400" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="2218" time="0 ms" request="0x8969978" url="ip.filezilla-project.org/ip.php" exceptions="" error=""


The first one is my Weather gadget trying to update the local conditions, and the second is my FTP server attempting to ascertain my external address for static FTP.

Both these sites are categorized as benign by the McAfee SmartFilter XL test tool, so even if I was blocking certain categories they should go through, but I'm not even doing that.

Am I missing something obvious, or is this broken?


This thread was automatically locked due to age.
  • 0
    The first line includes information that indicates the site might work if you make an exception for anti-virus for it: size="0" time="61808 ms"

    The second has statuscode="502" and, if you know for a fact that the target is normally well-behaved, then you might need to skip the proxy when accessing this site.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The first line includes information that indicates the site might work if you make an exception for anti-virus for it: size="0" time="61808 ms"

    The second has statuscode="502" and, if you know for a fact that the target is normally well-behaved, then you might need to skip the proxy when accessing this site.
    Thanks, Bob.  I've added the first (which was the one getting the 502, btw) to the "Always allow these sites" list and it now works, though I still don't understand why that should be needed if the general rule is already "allow".

    I'm still stuck with the second one that's returning a 400 though. It's apparently not the 400 in and of itself, as I see 400's from other URL's that have been allowed. I've tried adding it to the "Always allow list" and also created an exception rule that excludes that domain from every check, but it still gets blocked.  I even tried creating an exception rule that bypassed everything for any requests from that originating address, but still it was blocked. [:@]

    I feel like I'm banging my head against a wall that I can't even see. [:(]
  • 0
    Update: Adding the machine that houses my FTP server to the Transparent mode skiplist on the Advanced tab "works", inasmuch as it allows the FTP server to once again correctly divine its external IP address, though I'd be much happier if I could get it to work as advertised instead of skirting around the problem by completely excluding that machine.
  • 0
    Thanks, Bob. I've added the first (which was the one getting the 502, btw) to the "Always allow these sites" list and it now works, though I still don't understand why that should be needed if the general rule is already "allow".

    That's very interesting!  If you're in transparent mode, I would have thought you would try adding api.wunderground.com to the transparent mode skiplist.  In addition to an exception for anti-virus, this gives us another thing to try when a URL gets a "pass" yet the request times out.

    Update: Adding the machine that houses my FTP server to the Transparent mode skiplist on the Advanced tab "works", inasmuch as it allows the FTP server to once again correctly divine its external IP address, though I'd be much happier if I could get it to work as advertised instead of skirting around the problem by completely excluding that machine. 

    Now, I'm confused.  If you are in transparent mode, the HTTP Proxy doesn't handle FTP.  If you aren't in a transparent mode, then adding things to the transparent mode skiplist shouldn't have any effect.  Also, where is the FTP server and how does it relate to your initial post above?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA