Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 935 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

websecurity and packetfilter

ciscoman
Hi, 

I'm having problems with packetfilter when using proxy.

Imagine local subnets 'local1' and 'local2' where server do have access to internet via Astaro web security/proxy. Lets imagine that on all server are web server running on port 10000.
I need to avoid that the server in local1 can establish a session via proxy to local2 and vice versa to port 10000.

I added a rule in packetfilter, first position'  to deny traffic from any to local1 port 10000 and a second one from any to local2 port 10000.

But trying with a curl command, it is still possible to access the other local subnet with port 10000.


Is there any special feature which I have overseen?
Why does the packetfilter does not match?
Thanks
Stefan


This thread was automatically locked due to age.
  • 0
    Stefan, you might find the answer in "Configure HTTP Proxy for a Network of Guests" - if you'd like that document, click on my name beside my Cyrano avatar and send me an email.

    The order of consideration in the Astaro is "DNATs first, then proxies, then manual packet filter rules and manual routes, then SNATs" - so, your packet filter rules are not considered because the traffic is handled by the Proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Looks like another good one to submit to the knowledgebase.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to BAlfson
    Stefan, you might find the answer in "Configure HTTP Proxy for a Network of Guests" - if you'd like that document, click on my name beside my Cyrano avatar and send me an email.
    Cheers - Bob

    Could you simply publish it to the knowledge base or put it in my inbox. Thanks.



    The order of consideration in the Astaro is "DNATs first, then proxies, then manual packet filter rules and manual routes, then SNATs" - so, your packet filter rules are not considered because the traffic is handled by the Proxy.
    Cheers - Bob

    Interesting. So this is a showstopper for my use case.
    Thanks
    ciscoman
  • 0
    What you want to do is possible, just not the way you tried it.  I don't have time to put the article up now.  You also should google to find a REGEX for numeric IPs: a simple one is: \b(?:\d{1,3}\.){3}\d{1,3}\b

    Cheers- Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    What you want to do is possible, just not the way you tried it.  I don't have time to put the article up now.  You also should google to find a REGEX for numeric IPs: a simple one is: \b(?:\d{1,3}\.){3}\d{1,3}\b

    Cheers- Bob


    I played a little bit with the web URL filtering and the first test was successful. Perhaps this might fulfill the requirements. However, I would feel more save with a standard packetfilter instead of a license based URL filter policy.
    Thanks
    Best Regards
  • 0
    You can regulate by packet filter if you disable the HTTP/S Proxy, or...
    "DNATs first, then proxies, then manual packet filter rules and manual routes, then SNATs"

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA