Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 7607 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.2] Web Security - Web Filtering allowed networks

daniel4
Hi,
after the update to version 8.2 the Web Filtering (HTTP proxy) seams to have a bug.

The proxy is only configured for the internal network in transparent mode. In the configuration tab 'Advanced' in the section 'Transparent mode skiplist' are some internet hosts that will be skipped.
On a second interface is a vlan tagged network called WLAN. And in the 'Network Security' section is a firewall rule to deny erverything from that network on position 1. This configuration worked fine until the update.
Now I can reach the hosts configured in the proxy skip list from the WLAN network. Even so the WLAN is not on the allowed list from the proxy.

Regards
Daniel


This thread was automatically locked due to age.
  • 0 in reply to dilandau
    I added a website to the transparent skip list and checked to see what rules get created and I see the following. 

    Chain AUTO_FORWARD (1 references)

    target     prot opt source               destination         

    CONFIRMED  tcp  --  209.X.X.X      0.0.0.0/0           tcp spts:1:65535 dpt:80 

    CONFIRMED  tcp  --  209.X.X.X     0.0.0.0/0           tcp spts:1:65535 dpt:443 

    CONFIRMED  tcp  --  0.0.0.0/0            209.X.X.X      tcp spts:1:65535 dpt:80 

    CONFIRMED  tcp  --  0.0.0.0/0            209.X.X.X      tcp spts:1:65535 dpt:443


    I'm not an iptables expert but it looks like rules are created to allow access to the site as source and destination. This is on 8.103
  • 0
    Thanks, dilandau.  Does the same thing happen when the Proxy is not in a transparent mode?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Any setting involved with the transparent proxy skiplist should be ignored when not using Transparent mode.

    You can check with iptables -vL --line-numbers (I like to see the rule numbers, but you can use iptables -L to leave those out).
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to BAlfson
    Thanks, dilandau.  Does the same thing happen when the Proxy is not in a transparent mode?

    Yes, I've changed the proxy mode to standard and still packets are going through. If the "Allow HTTP/S traffic for listed hosts/nets" checkbox is checked.

    Here is a snip of my iptables -vL 
    Chain AUTO_FORWARD (1 references)

     pkts bytes target     prot opt in     out     source               destination         

        0     0 CONFIRMED  tcp  --  any    any     anywhere             anywhere            match-set tCRW+zI+1diBnqF2QmhJDA dst tcp spts:tcpmux:65535 dpt:http 

        0     0 CONFIRMED  tcp  --  any    any     anywhere             anywhere            match-set tCRW+zI+1diBnqF2QmhJDA dst tcp spts:tcpmux:65535 dpt:https 
  • 0
    Thanks, Daniel.  Color me surprised - and now forewarned!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Can anyone confirm/reproduce this behavior?
  • 0
    Hi,

    yes, ich can reproduce this "failure" on V 8.201.
    If  "Allow HTTP/S traffic for listed hosts/nets" is checked, i can reach for example ftp.de.debian.org over ip-adress and the ftp-tree is listed.

    On the Packetfilter my guest-network is blocked for all services.
  • 0
    Hi, Ichbins, and welcome to the User BB!

    What you describe is normal and correct (Any -> HTTP/S -> ftp.de.debian.org : Allow).  The "automatic" packet rules used by a proxy are always applied before your explicit PF rules can be considered.  If you want granular control, you must not select 'Allow HTTP/S traffic for listed hosts/nets'; then, your explicit PF rules will apply.

    What surprised me was the other automatic rule created: ftp.de.debian.org -> HTTP/S -> Any : Allow.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner