Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3897 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.201] Parent Proxy not working?

d75
Hi,

yesterday I applied two Up2Date packages, and since then my parent proxies aren't working anymore.

I have ASG running inside a VM serving as a bridge between two networks, and the same server which runs the VM has Privoxy running.

Some Web Filtering profiles had a parent proxy configured (that Privoxy instance), and were using it successfully. Just to clarify, I'm not setting the Privoxy address/port in the client software (Brower/OS), but I'm having ASG "route" (don't know if this is the correct term) the requests through Privoxy automatically and transparently. This did work.

Since yesterday these profiles are not working anymore. They don't even connect to Privoxy, but time out, just as if Privoxy were not running or not reachable.

I pinged the host from inside ASG, and the pings are successfull.

Anyone having the same issue?


This thread was automatically locked due to age.
  • 0
    I've been checking some more.

    The problem is coupled to the use of "Full transparent mode" proxying in those profiles.

    If it is enabled, then the packets get dropped, I can see that in the live Firewall log.

    This is a sample of the log:
    16:26:42  Default DROP  TCP 
    172.16.2.10:54157→172.16.1.12:8118
    [SYN]  len=60  ttl=64  tos=0x00  srcmac=0:c:29:5c:xx:xx

    16:26:44  Default DROP  TCP 
    172.16.2.10:50950 → 172.16.1.12:8118
    [SYN]  len=60  ttl=64  tos=0x00  srcmac=0:c:29:5c:xx:xx

    the srcmac, where xx:xx stands for some other hex values, is the eth1 interface mac of ASG. There is no dstmac in the log, i don't know if this is ok.

    Could this be the cause for the dropped packets? Remember, this config used to work before the upgrade.

    Creating a packet rule of Allow 172.16.2.10 to 172.16.1.12 on port 8118 doesn't help. I have another rule which allows all traffic between 172.16.2.x and 172.16.1.x.

    Also, when logged into the shell, it is possible to do a wget to a http server on any port on 172.16.1.12, so I know that ASG has connectivity to the interface which hosts the privoxy server.
  • 0 in reply to d75
    Why do you see the need to use Privoxy?

    The ASG has a very comprehensive proxy with a large range of filters which as a home user are updated regularly for free.

    You setup your user profiles.

    Ian
  • 0 in reply to RFCat_vk_01
    Actually it's not Privoxy which I'm running, but a custom one I'm using to test some stuff. Since Privoxy is stable I use it to troubleshoot this issue.

    I really love ASG's web filtering, it's the the main reason why ASG is running on the network. I hope Sophos will keep it free for home users.

    I had to move back to 8.103 because there was definitely no way of getting it to work.

    Daniel
  • 0
    I hope Sophos will keep it free for home users
    Yes, the plan is to keep the Home License version free.  [:)]
  • 0 in reply to Scott_Klassen
    Hi, I need to re-open this thread.

    I just did a batch-upgrade from 8.103 to 8.300 in order to see if this issue is fixed, but it is still not working.

    8.103 was the last version where "full transparent mode" was working when using Web Filtering profiles which had the usage of parent proxy set up in their filter actions.

    This is kind of an important issue, since parent proxies do often contain rules where certain actions should be taken depending on the IP address of the client. Turning "full transparent mode" off would mean that the proxies always see ASG's IP address, regardless of who is the client.

    The benefit of having ASG in between the client and the parent proxy is that there is no client-side configuration required.

    Any ideas?
  • 0
    You're the only person reporting that Full Transparent isn't functioning correctly in Profiles, so I bet there's a small glitch that can be fixed easily if we can find the underlying problem. 

    What problem are you seeing this time - what's "not working" for you?  Any relevant log lines from the Web Filtering log?  Is there anything relevant in the Firewall log or the DNS log?

    Cheers - Bob
  • 0
    Hi Bob,

    Actually, I recently configure the parent proxy and it seems that I'm also experiencing the same. hahaha.

    I noticed that the parent proxy was loading properly; however, I saw on the firewall logs that "client going to proxy server" was dropped. I even tried "client going to any internet ipv4 with any service",place on top of the firewall rules...the request was still dropped...

    I continue with the troubleshooting tomorrow. Do you have any suggestion on how to tackle this problem?

    Regards,


    Onats