Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 5178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exclude proxy for external IP range / proxy and port 8080 in firewall

khardeveld
I need the insights of the pro's [:)]

Our Astaro will be connected to another internal network, hosting several servers. One of those servers needs to communicate with our LAN via port 8080. However, we are also using the Astaro proxy, which is port 8080.

Wat I am trying to figure out is exactly when traffic is handled by the proxy. Is it as simple as 'Any 8080 request to WAN is considered proxy, all other requests are firewall' or will the proxy respond to any request, no matter what destionation IP?

If all 8080 requests are considered proxy requests, then we might have a bit of a challenge. I found Balfsons priority list DNAT -> proxy -> firewall -> Routing in previous posts, which would imply that in that case we could not create a rule because the proxy would handle the request first. I have been considering creating a SNAT for our internal LAN to this host, but as far as I know SNAT is the last thing that is done, so that wouldn't help either.

I was hoping that maybe we could exclude IP ranges from the proxy, however I can only allow ranges to use the proxy (source), not exclude destination ranges

I did some RFTM, but was unable to find the information which would either confirm or deny anything. 

Any suggestions?


This thread was automatically locked due to age.
  • 0
    O, well, solutions seems simple [[:)]]

    Web Filtering -> Advanced -> Skip transparent mode destination hosts / nets 

    The 'transparent mode' got me confused [[:)]]
  • 0
    Khardeveld, let no one say that you do not proceed with an abundance of caution!  I don't think this issue has been addressed here before, and it's an excellent question.

    In fact, I think the only ports that Astaro can be configured to capture transparently are 21, 25 & 80, so you should have no problem.

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    I've been searching for some more information, and it seems my question has multiple answers, depending on the situation. I've written down what I've found so far, feel free to comment if I'm missing the point, otherwise I hope it will be of use [[[:)]]]

    First of all, basic knowledge of what a proxy is is relevant [[[:)]]] Simply put: If I wish to communicate with a website outside my LAN and my Astaro has proxy available in standard mode, my browser needs to be configured to request Astaro to connect to the website and relay back the results (mostly done through some proxy settings option). So my browser is aware of the fact that all web requests need to be forwarded to Astaro. This request is normally done with port 8080.

    If I am not accessing the website / hosts with a browser, then I will be trying to acces this host directly. Therefore the proxy will not intervene and firewall rules will be applied. This means that I can happily communicate with any host on port 8080 on other networks, as long as I have the correct firewall rules in place.

    But then, of course, there are websites which may have special pages which are only accessible through a different port then the default port 80/443 which we use for HTTP(S) traffic. This different port could also be port 8080. Strictly speaking, a proxy would no allow this, because it should only process requests dealing with port 80 / 443.

    However, Astaro (and other proxy appliances as well) does have the option to allow other ports though the proxy. These ports can be specified under Web Security -> Web filtering -> Advanced and then below on the page under 'Misc Settings' we can specify target services other then 80/443 which are allowed under 'allowed target services'. So as long as I have port 8080 listed in this list, I can still browse to any host outside my LAN through the proxy, and still use port 8080. As long as the host I am browsing to knows how to return the proxy traffic [[[:)]]]

    In my case, to summarize:


    •  Communication with hosts outside my LAN on port 8080 without a browser depends on wether or not I have set the correct firewall rule, since I am trying to communicate the the host directly.

    •  Communication with hosts outside my LAN on port 8080 with a browser  depends on the fact if port 8080 is listed in the 'allowed target services' for my proxy, since I am requesting Astaro to forward the traffic through the proxy. I am not communicating with the host directly, I am communicating with my Astaro, which will then decide what actions to perform.


    Now, for transparent proxy mode, things are different. As far as I have been able to find, transparent mode simply evaluatues the use of port 80/443 and if so, it will act as a proxy.If any other ports are used, these will not be handled by the proxy and will have to be enabled through the firewall rules.

    To be able to communicate with hosts on port 80/443 without transparent proxy getting involved, we can exclude them in the transparent mode skiplist (under  Web Security -> Web filtering -> Advanced) where we can either exclude source hosts / networks or destination hosts /networks. For those excluded hosts/networks, we will then need to create the appropriate firewall rules to allow ports 80/443.