Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1087 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Profiles match not as intended

smueff
Hi Folks,

I am writing this a second time since I got logged out while writing my first attempt which then got "lost" when I wanted to preview it. [:@] so this is my second try (stripped version, less bla):

I have a brandnew UTM for my home network. I am highly interested in the Proxy Profile feature since I have a little brother (nine years) with his own laptop (Windows 7, own profile/password). I don't have any directory services in my network, so i have local users on the UTM. I want to get rid of the FireFoxPlugin Pro Con Latte which until now handled URL Filtering for my brother.

A short description of what I wanted to accomplish: 
"minor" users have to use a profile with strict URL-filtering. grown up users have a less strict profile. Authentication for known users is done via SAA since no directory server is available. Guest users cannot authenticate and should have an even stricter profile with advanced virusscanning.

Here's what I setup, I hope this is comprehensible:
- UTM version 9.006
- I've created two user groups "minors" (including my little brother) and "grown ups" including me
- I've distributed the SAA to the clients, auth seems to be working fine according to the log
- I've put very strict settings into the main web proxy, since I want this to be the fallback for guests (default filter action)
- I've setup two filter actions:
-- "grown ups" (less strict, no URL blocking)
-- "minors" (very strict, lots of blocking)
- I've created two new filter assignments
-- "grown ups, less strict" with the corresponding users and filter actions
-- "minors, very strict" with the corresponding users and filter actions
- I've setup two proxy profiles (in that order):
-- Position 1. "LAN guest proxy": Source: Internal Network, no filter assignments, fallback is default filter action, OP Mode transparent, no authentication
-- Position 2. "LAN SAA-authenticated proxy": Source: Internal Network, filter assignments 1. "minors" 2. "grown ups", fallback is default filter action, OP Mode transparent, authentication via agent (hence the first proxy, since unauthed users (guests) would have gotten a blocked content info, is this a correct approach?)

The problem I'm expriecing: Every client, authed or unauthed seems to apply the fallback action with the strictest proxy (the main proxy). It doesn't seem as if my filter assignments match. AFAIK the UTM applies rules by first match and exits. I think this is some sort of "wrong order" matter. Maybe you have an eye for that and can point me to the right direction or even find the flaw I've built into the setup.

Any help is highly appreciated and also thank you for reading and taking your time for my issue. If you need additional info like screenshots or logfiles, please let me know.

Best regards
smueff


This thread was automatically locked due to age.
  • 0
    Delete your first Web Filtering Profile and assure that the default in 'Web Filtering' is for 'Transparent' mode.  This, alone, will fix your problem.  If you look in the Web Filtering log file, you will see that all of the traffic was being handled by that first Profile.

    Consider deleting the Firewall rule that allows 'Internal (Network) -> Web Filtering -> Internet/Any' and replacing it with something like 'Internal (Network) -> HTTPS -> {group of specific, allowed sites}'.

    Cheers - Bob
    PS I hate how this blasted site times-out without saving my entry.  I've developed the habit of doing a Ctrl-a/Crtl-c to copy posts to the clipboard if I've been on a page for more than a few minutes.
  • 0 in reply to BAlfson
    Hi Bob,

    first off: thank you for taking your time. I had the unauthenticated, transparent proxy disabled, like you said. Then everything went through the SAA authenticated proxy, you are correct. It's interesting, I havent noticed that the used proxy profile can be found in the log, thanks for pointing that out!

    So I conclude: it's not possible to have two cascading proxy profiles, one for unauthenticated users and the other one for authenticated users in the same vlan/subnet. 

    Is that correct? If not, is there any other way I can setup one authenticated proxy and one without authentication? I figure that when I put the guests in a different vlan/subnet, I woulnd't have had these problems in the first place...unfortunately, I don't have any equip right now to establish vlans. Or am I using the wrong approach here? Maybe your second pair of eyes has a different, more reasonable approach.

    If I understand correctly, your suggestion with the specific sites (whitelisting) would have an effect on the whole network, not just my brother. It'd be great if I could keep the grown ups and minors still separated.

    Thanks and best regards
    smueff
  • 0
    So I conclude: it's not possible to have two cascading proxy profiles, one for unauthenticated users and the other one for authenticated users in the same vlan/subnet. 

    Is that correct?

    Yes and no.  A basic concept is that, in any set of rules, when traffic qualifies for any one, no further rules in that set are considered.  As a result, you can use a Profile in Standard mode and a Profile in Transparent mode for a subnet, but not two of either.

    If you'd like, send an email to my username here @ the domain in my signature, and I'll send you a document that several of us here have contributed to, "Configure HTTP Proxy for a Network of Guests."

    Cheers - Bob