Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 866 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Order of Traffic through ASG

skydiver
I am trying to troubleshoot HTTP/S running in transparent mode and I am having the following issue:
I have three different network segments assigned to the the HTTPS proxy
10.10.0.0/16
10.242.0.0./16
10.16.2.0/24

When connected via 10.16.2.0 I am getting blocked appropriately to a site that is below the neutral threshold.

When I connect via 10.10.0.0 (10.10.2.x) I am not getting blocked to the same link.

Where is the chain does HTTP/S proxy come into play?  I am trying to see what rule is bypassing the proxy when on the 10.10.2.0 segment.


This thread was automatically locked due to age.
Parents
  • 0
    Basic rule: DNATs first, then proxies, then manual packet filter rules and static routes, finally SNATs.

    If you are running the HTTP/S Proxy in "Transparent" mode, it won't handle HTTPS traffic unless you check the box to 'Scan HTTPS (SSL) traffic'.  If you don't have that checked, the packet filter rules are consulted.  If the traffic is allowed by a PF rule, you also must have a masquerading rule for the response to come back to the Astaro.

    You should be able to see the traffic in the 'Content Filter (HTTP)' log.  You can turn on the live log and filter for the internal IP you want to watch.

    You didn't say what you meant by "blocked appropriately."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Basic rule: DNATs first, then proxies, then manual packet filter rules and static routes, finally SNATs.

    If you are running the HTTP/S Proxy in "Transparent" mode, it won't handle HTTPS traffic unless you check the box to 'Scan HTTPS (SSL) traffic'.  If you don't have that checked, the packet filter rules are consulted.  If the traffic is allowed by a PF rule, you also must have a masquerading rule for the response to come back to the Astaro.

    You should be able to see the traffic in the 'Content Filter (HTTP)' log.  You can turn on the live log and filter for the internal IP you want to watch.

    You didn't say what you meant by "blocked appropriately."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    HTTP/S Proxy running in transparent mode without SSL. 
    Proxy URL filtering setup:
    X      Allow content that does not match the criteria below.
    O Block content that does not match the criteria below.

    X Block Spyware infection and communication
    X Block URLs with a reputation below a threshold of:
    O Trusted
    X Neutral
    O Unverified
    O Suspicious

    The below neutral rule is triggered when the site is accessed from the 10.16.2.0 segment but not from the 10.10.2.0 segment.

    I found the problem.  In the HTTP/S proxy setup, I had an exception set for my 10.10.0.0 network because I couldn't access internal network printer devices, switches, etc.  It looks like I am going to need to create more targeted device exceptions.

    Here is the link in question (Now I need to determine whether I need to lower the bard on the site reputation ranking):

    Ruby Tuesday to debut seafood concept next spring | Nation's Restaurant News