Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2067 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filter Updates seems to have life of their own

nico.n
Hello,

we are using a Sophos UTM as Virtual Software Appliance as Proxy and Reverse Proxy on the border of a separate net segment within our company.
So the Appliance has no direct Internet connection. Security Policies require us to make Internet Connections over another web proxy. This is working well for Antivirus and Firmeware Up2Date Packages.

However, when Web Filters are enabled the UTM keeps trying to talk to the following servers:

ussc1.astaro.com
ussc2.astaro.com
imap.astaro.com
cffs04.astaro.com
astaro.nmmn.net
london057.server4you.de
colossus808.server4you.de
ec2-54-248-108-74.ap-northeast-1.compute.amazonaws.com

which is nagging our firewall administrator. [:D]

Am I’m assuming right, that these are the addresses for the web filter updates? The requests keeps coming in 10 minute intervals regardless of the Up2Date settings.

There seems to be no way to lead this request to our company proxy. Neither do they use the proxy set in the Up2Date settings, nor a proxy I set in the parent proxy settings of the web filter.

To top this all the request keep knocking on our firewall even when I make a static DNS entry to the mentioned hosts pointing to 127.0.0.1

Is there a way to disable web filter updates or a way to lead the request to our company proxy?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Nico, and welcome to the User BB!

    Bruce, I have only one site using the "mem" setting, and it continues to ping the cffs servers every ten minutes.  

    Nico, I have no idea why the other "astaro" servers are accessed, and don't recognize the others as related.  In any case, I think your firewall admin will have to let the UTM take care of itself. [;)]  If it's doing Web Protection and Web Server Protection, he should allow all traffic to and from it - the UTM should firewall any traffic it doesn't like.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hi, Nico, and welcome to the User BB!

    Bruce, I have only one site using the "mem" setting, and it continues to ping the cffs servers every ten minutes.  

    Nico, I have no idea why the other "astaro" servers are accessed, and don't recognize the others as related.  In any case, I think your firewall admin will have to let the UTM take care of itself. [;)]  If it's doing Web Protection and Web Server Protection, he should allow all traffic to and from it - the UTM should firewall any traffic it doesn't like.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Thanks for the explanation, I assumed that the UTM has a web filter database by default. But seeing it depends on a remote database in the internet the behavior makes more sense to me now.

    Problem is that opening the firewall for the UTM makes no sense in our case. That's because the UTM don't stand on the front line to the internet. It's hard to explain without explaining our complete network topology. The data flow is:

    High Secure Part of Intranet > UTM > Firewall > Lower Secure Part of Intranet > Web Proxy > Firewall > Internet

    The Clients in the High Secure Part of Intranet has no access to the Internet at all. The Web Protection of the UTM is only to control access from the High Secure Intranet Clients to the Web Servers in the Lower Secure Part (and the Web Server Protection is for the other direction). We have no use for the Web Filter Database, because we have a block all policy. We manually maintain a list which client has access to which web server.

    @Bruce: Other Updates for the UTM (Firmware, AV Patterns) are coming over the web proxy. So the important things are up to date.

    @BAIfson: Thanks for letting me know that latency checks don't vanish when using the local web filter database. The requests to all the servers in my list vanishes when Web Protection is turned of. So they have to related to this.

    Ideal solution for us would be to disable the use of the web filter database at all. If this isn't possible we will just add a firewall rule to drop the latency checks without logging.
Cookie Information Banner