Dropbox Application Control

Hi, the external WAN address will show for traffic going through the HTTP Proxy (WEB Protection).

Make you sure have dropbox blocked in the proxy profiles as well, and check the http reporting.

Barry

Just so I understand your response crystal clear...even though I have dropbox blocked in application control policies I still have to block it in the web filtering policy? 

The application control log will show my external address but If I want to see what internal clients are trying to use dropbox then I have to read the web filtering logs? Two different policies and two different logs to resolve one problem?

The end goal is I just want to be able to quickly identify what clients behind my firewall are attempting to access dropbox.

Make you sure have dropbox blocked in the proxy profiles as well, and check the http reporting.

As far as I know you can configure application control policy only in a single place. Did I miss anything?

Regards,
mlenk

Proxy Profiles is for the web&content filter.
BarryG means you have to block the (sub)domains used by dropbox in the web/content filter too

BarryG means you have to block the (sub)domains used by dropbox in the web/content filter too

If this is really needed, this is a bug. In this case please contact support.

Hi MjonesPro,

[...] I want to track down what machines are initiating this traffic. When I view the reports though it always shows the source IP as my external WAN interface. Do I have something configured incorrectly? How can the external WAN interface of the firewall be generating Dropbox traffic?

I do not believe that you have something configured incorrectly. The external WAN interface is indeed generating the Dropbox traffic, if the responsible Dropbox installation has explicitly configured your UTM as a HTTP proxy when operating the proxy in standard mode. The client connection is then terminated at the UTM, and the connection to the Dropbox server is anew initiated by the HTTP proxy on the UTM. So, technically speaking, it is correct that the external WAN interface of the the firewall is generating the Dropbox traffic.

I fully understand your intention to track down what machines are initiating some reported traffic. But unfortunately there is little we can do about how traffic generated by the HTTP proxy in standard mode is tracked in reporting.

Best Regards,
mlenk

Just so I understand your response crystal clear...even though I have dropbox blocked in application control policies I still have to block it in the web filtering policy? 

Hi,

Can someone else answer this question?
I'm not certain what the answer is.

Barry

Application Control and the httpproxy are related but not the same.  They use different methods of blocking and have different logging.  One difference is that the httpproxy only looks at traffic on 80, 443, and 8080 while AppControl can see traffic on any port.

Either one can independently be used to block DropBox.

If you block via AppControl, you will get the logging in the AppControl logs which has the problem you have found.  As mlenk explained DropBox is using the UTM as an explicit proxy the log is technically correct.

If you block via httpproxy, you will get logging as part of Web Protection, which will likely correctly tell you the source.

If you block with both (which is what I think BarryG was suggesting) you are a Belt-and-Suspenders type of guy.  I don't know which will catch it first so I'm not sure which log it will be in.

Technically, AppControl is a "better" block for DropBox.