Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 576 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLANs, AD Groups and Proxy Profiles

PSYcho
Hi all;
Ill try to keep this as concise as possible.

My company recently set up an Astaro Web Gateway (7.504); and after much fumbling got it working.. of sorts.

It's now two weeks after implementation, and we have gained better understanding of the system and are now looking at totally reconfiguring it.

Before we undertake this, I want to know in regards to proxy profiles:
- Will it work if my 1st proxy profile allows an AD authenticated group of users full access (eg. Staff); 
and my 2nd profile use a network group (all of the required staff vlans) with a more restrictive filter action policy?
- We allowed "www.hotmail.com"/"www.live.com" and all its variations and permutations in a whitelist, 
however some users were intermittently receiving "Reputation Limit Exceeded" errors, whereas 90% of other users were able to use it without any issues at all.
How/why is this occurring; and what would be the best way to address this issue?
- In our current implementation, our logs are not 100% accurate, in that "HTTP-ALT" traffic is only measured in Accounting.
My question is (as dumb as it may sound)... what IS HTTP-ALT traffic? 
From what I've gathered, it's traffic that passes DIRECTLY through Astaro on 8080. Why is it not tracked as a total in "Reporting --> Web Security"??
- Last, but not least, can someone clarify "transparent mode" for me; more specifically,
it doesn't process any other traffic other then that from Port 80? Will it not allow SSL (443) traffic?


Thank you all in advance.


This thread was automatically locked due to age.
Parents
  • 0
    Hi all,

    Just to give a quick update to my situation:

    On the weekend, we went about reconfiguring the proxy and have hit a (massive) snag,
    we can now no longer log into our web admin console.
    We have tried all the solutions we could find; forum posts and K/B articles mostly suggest
    rebooting and editing the kernel etc.etc. to no avail.

    As a heads up / warning to other users, after reading some forum posts once again;
    what I think caused this is setting up multiple proxy profiles using the same vlans.
    I'm still not 100% sure of cause, but am fairly certain that this is it. (why is this so?)

    Any help / suggestions would be greatly appreciated, as it now looks as if I might have to reinstall :-(
  • 0 in reply to PSYcho
    Good Morning, PSYcho, 

    please contact support, they can help your resolve the issue.

    Regarding the HTTP Proxy configuration it is not possible to have two proxy profiles for the same network segment. This means you can not run the AD authentication AND transparent mode on the same network segment. if you have two a smaller network and a bigger, than use the smaller first, as it uses a match first policy.

    This said, the proxy profile must list your network and which proxy mode you want to use, i assume AD SSO, and select a filter action that shall be used, IF no filter assignments is matched. Create a "filter action" block all" and use it.

    In the filter assignments you can define which group has access to what, 
    there you could use the "AD usergroup staff" and assign a different filter action than all other users.

    in your case you need to define three 'filter action':
    * block all - that does not allow traffic through
    * full access - so staff can to everything
    * limited access - for the 

    regarding question 3) i assume that you still use the default filter action in the proxy profile, and there URL reputation is enabled per default.

    regarding question 4) HTTP-ALT is the resolved name for the tcp port 8080 which the proxy uses. 

    regarding question 5) that is strange, all your logs should be in the "HTTP COntentfilter log" and with that, automatically also the reporting database where it collect 'time spent' and 'traffic'. Only if the traffic goes out directly and pypassing the proxy, than it would only be listed in the Accounting.

    regarding question 6) transparent mode will automatically intercept all outbound traffic on port 80. If you enabled ssl-scaning, than it will also inspect port 443. if not, than you need to create a firewall rule to allow port 443 outbound. 

    i hope that helps, 
    regards
    GErt
Reply
  • 0 in reply to PSYcho
    Good Morning, PSYcho, 

    please contact support, they can help your resolve the issue.

    Regarding the HTTP Proxy configuration it is not possible to have two proxy profiles for the same network segment. This means you can not run the AD authentication AND transparent mode on the same network segment. if you have two a smaller network and a bigger, than use the smaller first, as it uses a match first policy.

    This said, the proxy profile must list your network and which proxy mode you want to use, i assume AD SSO, and select a filter action that shall be used, IF no filter assignments is matched. Create a "filter action" block all" and use it.

    In the filter assignments you can define which group has access to what, 
    there you could use the "AD usergroup staff" and assign a different filter action than all other users.

    in your case you need to define three 'filter action':
    * block all - that does not allow traffic through
    * full access - so staff can to everything
    * limited access - for the 

    regarding question 3) i assume that you still use the default filter action in the proxy profile, and there URL reputation is enabled per default.

    regarding question 4) HTTP-ALT is the resolved name for the tcp port 8080 which the proxy uses. 

    regarding question 5) that is strange, all your logs should be in the "HTTP COntentfilter log" and with that, automatically also the reporting database where it collect 'time spent' and 'traffic'. Only if the traffic goes out directly and pypassing the proxy, than it would only be listed in the Accounting.

    regarding question 6) transparent mode will automatically intercept all outbound traffic on port 80. If you enabled ssl-scaning, than it will also inspect port 443. if not, than you need to create a firewall rule to allow port 443 outbound. 

    i hope that helps, 
    regards
    GErt
Children
No Data