Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 11702 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WPAD vs Manual Configuration - Firefox

MojoQC
Hi guys,

I am actually planning a fast an easy to implement my proxy on firefox using FirefoxADM (To manage firefox from GPO) and WPAD file.

So I have my proxy actually configured in Transparent mode and a profile configured in AD SSO (This is the profile that my users are going to use when they will have they browers configured. I am already using as for testing). But I see something pretty odd. When I configure firefox using the manual proxy configuration :



I can see the usernames passing in the HTTP/S live log. (Which is correct). But when I use the automatic proxy configuration URL pointing to my WPAD file containing : 


function FindProxyForURL(url, host) {



// Skip the proxy application for the following url's



	if (shExpMatch(url, "*.arborite.com:*/*") ||

		shExpMatch(url, "*.microsoft.com") ||

		shExpMatch(url, "*.windowsupdate.com") ||

		shExpMatch(url, "*.symantec.com"))

	{

		return "DIRECT";

	}

	else 

		return "PROXY monfw01.arborite.com:8080; DIRECT;"; //Fail-over order

}


I do not see the usernames in the HTTP/S live log. Only the IP addresses.

Any ideas? I would surely like more to use the wpad file so we can skip our internal addresses from passing into the astaro...

Thanks,
MojoQC


This thread was automatically locked due to age.
Parents
  • 0
    Ah, OK, a little "philosophy" then...

    The default behavior for a firewall is to "drop" all traffic that comes to it.  Packet Filter rules can modify that to explicitly "drop", "reject" or "allow" specific traffic.  In the initial setup of the Astaro, the Wizard probably created a PF rule to allow internet access, 'Internal (Network) -> Web Surfing -> Internet : Allow', that allows those behind the Astaro to send surf requests to the internet.

    The Astaro is a "stateful" firewall which means, in effect, that it keeps track of connections it makes and accepts any traffic it has requested.  That's the reason you don't need to have in-bound packet filter rules for most things.

    When you use the Astaro HTTP/S Proxy, you get protection from malware, and forcing people to use the proxy means you can use the URL Filter to prevent/allow access to entire categories of sites.  If you leave the 'Internal (Network) -> Web Surfing -> Internet : Allow' filter enabled, a user could get around the proxy and have direct access to the internet, so I suggest that it be disabled to enhance security.  In your example, you would need to create another PF rule to allow the DIRECT traffic.  The only one you really need is 'Internal (Network) -> Web Surfing -> {DNS Host definition for arborite.com} : Allow'.

    As for your WPAD file, you don't need to go "DIRECT" for windowsupdate.com, microsoft.com or symantec.com.  The Installation Wizard creates an exception for the microsoft sites that works fine, and you can add symantec to that exception.

    Cheers - Bob
Reply
  • 0
    Ah, OK, a little "philosophy" then...

    The default behavior for a firewall is to "drop" all traffic that comes to it.  Packet Filter rules can modify that to explicitly "drop", "reject" or "allow" specific traffic.  In the initial setup of the Astaro, the Wizard probably created a PF rule to allow internet access, 'Internal (Network) -> Web Surfing -> Internet : Allow', that allows those behind the Astaro to send surf requests to the internet.

    The Astaro is a "stateful" firewall which means, in effect, that it keeps track of connections it makes and accepts any traffic it has requested.  That's the reason you don't need to have in-bound packet filter rules for most things.

    When you use the Astaro HTTP/S Proxy, you get protection from malware, and forcing people to use the proxy means you can use the URL Filter to prevent/allow access to entire categories of sites.  If you leave the 'Internal (Network) -> Web Surfing -> Internet : Allow' filter enabled, a user could get around the proxy and have direct access to the internet, so I suggest that it be disabled to enhance security.  In your example, you would need to create another PF rule to allow the DIRECT traffic.  The only one you really need is 'Internal (Network) -> Web Surfing -> {DNS Host definition for arborite.com} : Allow'.

    As for your WPAD file, you don't need to go "DIRECT" for windowsupdate.com, microsoft.com or symantec.com.  The Installation Wizard creates an exception for the microsoft sites that works fine, and you can add symantec to that exception.

    Cheers - Bob
Children
No Data