Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 2119 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Profile not working

Godself
Hello guys, 

My Astaro is currently at 8.303 and something weird is happening.
I have one Proxy Profile created with its respectives Filter Assignments.
Everything is working fine with the exception of two websites (bradesco.com.br and bancoindustrial.com.br) which are categorized as Finance/Banking and it is allowed in the Filter Action inside the Filter Assignment.
The Group (SSO AD) is assigned to the respective Filter Action too and other Banks sites are working.
I have verified that in the log it is dropping the user to the default content filter block action but that wasnt supposed to happen because the user has access to that category. What could possibly be happening? [:S]


This thread was automatically locked due to age.
  • 0
    Please show the lie from the httpproxy log.

    Is this same user usually correctly counted as a member of the group?  Do others in the group drop through to the block action?

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes for both. Users are members of the group and anyone trying to access these website are being dropped despite the group they are in.

    2012:09:27-14:02:42 ASG220-Alpex httpproxy[23320]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.0.1.89" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProProfile (Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="6669" request="0xc3e38450" url="www.bradesco.com.br/.../bottom.shtm" exceptions="auth,content" error="" country="United States"

    2012:09:27-14:04:23 ASG220-Alpex httpproxy[23320]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="10.0.1.89" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProProfile (Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="6660" request="0xe481a18" url="www.bancoindustrial.com.br/banco_industrial.asp" exceptions="auth,content" error="" country="Brazil"

    As you can see. The user is not appearing (user="") so it is forwarding to the Default Content Filter Block Action.

    If I create an exception skipping "URL Filter" it works but I dont want an exception for that.
  • 0
    Do you see a crap_callback message just prior to the blocks?  If so, you might want to try using a locally-resolvable FQDN instead of an IP in your 'Proxy Settings' in your GPO or WPAD file - that forces the use of kerberos instead of NTLM authentication.

    Was that it?

    Cheers - Bob
  • 0 in reply to BAlfson
    No....no msg at all. That's the first thing the log register as soon as they enter the website.
    It's weird the fact Astaro isnt identifying the user which is trying to access. It's synchronized with AD using standard mode and everything is working fine. [:S]
  • 0
    The only way this can happen is if AD doesn't authenicate.  Hmmm, I wonder if maybe the response isn't coming back in a timely manner sometimes.  Assuming your AD server is in the network attached to eth0, what do you see if you run the shell command ifconfig -a eth0

    Cheers - Bob
  • 0 in reply to BAlfson
    Is it possible that AD authentication is working for everything except these two websites? [:O]
  • 0
    Notice in the log snippet that you posted:

    exceptions="auth,content"


    You have an exception rule bypassing authentication
  • 0
    Scott, I saw those, but it didn't occur to me that an Exception to blocking could cause a block.  If this does work like that, it seems like a design error to me.

    Cheers - Bob
  • 0 in reply to BAlfson
    I agree with Balfson. If that was the case, why would other bank sites in the same category open normally?
  • 0
    It's not the content skip that's doing it, it's skipping authentication for these sites.

    skipping auth>>user="">>wrong Filter Action (based on group membership).  Can't match a group if the proxy doesn't know who the user is.  It's not a design error, the proxy is only doing what it's been told to do, based on the configuration.  Exception rules are global in nature and are one of the first things matched against.