Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 11509 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Allowing limited Internet access to bypass proxy

mactag
Hi,

I have my device configured to force all Internet access via AD SSO to control and log access, however there are certain applications that are unable to use proxy settings and require direct access using the specified default gateway.

My question is how do I allow traffic for certain sites through the Firewall rules which are set to block all traffic and force proxy use, can I create a rule to allow all traffic through by URL?

Any help is appreciated.

Regards,
Mark.


This thread was automatically locked due to age.
  • 0
    Hi,

    If you're using Transparent Mode, I believe you can add the sites to the Transparent Mode Skiplist.

    In non-transparent mode, you can tell the browser not to use the proxy for certain domains.

    Barry
  • 0
    Mark, if Barry's comments don't get you there, please give an example application, the error you see, any log file lines related, the exact version of UTM and Standard or Transparent mode.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    I am using Standard mode, I only wish to allow certain websites to be able to bypass the proxy and connect directly using the local PC's default gateway settings to get Internet access.

    This requirement is to allow applications that do not support proxy connections the ability to connect to an update UR etc. The applications in question do not use IE to access the Internet.

    Hopefully I'm explaining my requirement clearly.   

    Thanks for your suggestions so far.

    Regards,
    Mark.
  • 0
    Create an Exception based on Destination URL.
    You can then skip authentication (if that is the issue) or anything else.
    You'll see a bunch of existing exceptions for things like Adobe Updater.

    Note: if you skip authentication you might want to look at your policies and click on advanced in the policy to check to the box "use this policy to requests that haves skipped auth" to select which policy applies.  Otherwise the Base Policy will apply. 

    Traffic will still go through the proxy.  If you truly want to bypass the proxy entirely that has to be client-side.  The application (or system settings) must be told not use the proxy for certain addresses.

    If you already have stuff that completely ignores the proxy setting and tries to do direct via the default gateway, then you need to make sure that with whatever network configuration you have that the port 80/443 traffic is allowed.

    If the UTM is the firewall and part of the chain to get out, you'll need to open up ports on the firewall.  You can do this in Firewall rules.  Of course, this allows any app on computer to ignore the proxy and go out.

    The best thing to do is not do a firewall rule.  Instead, create a second Profile that is lower priority and which is in Transparent Mode.  In that Transparent Mode you can not have authentication but still have AV scanning, etc.
  • 0 in reply to Michael Dunn
    Thanks for te responses, I'm out of the office at the moment but will give some feedback next week.

    Regards,
    Mark.
  • 0 in reply to mactag
    I'm still working on this and it looks like Michael's post may hold the answer.

    If I understand it correctly I create 2 Web Filter profiles, one using Standard Mode for all client Internet access forcing the users to go through the proxy settings and a second profile configured to use Transparent Mode which will be used by those applications that I'm happy to allow Internet access too that can only access the Internet using the Default Gateway (they don't allow proxy information to be defined). I can then create different filter policies for each profile.

    If this is the case I have a couple of further questions;

    1. Do I specify a Default Authentication for the Transparent Mode profile such as Active Directory as I have specified in the Standard Mode Profile?

    2. What order should the profiles be in, I'm thinking 1 is for Standard Mode and 2 is for Transparent Mode.

    Also, if I'm completely miss understanding the suggestion please advise.

    Regards,
    Mark.
  • 0
    Good questions, Mark,

    1. I don't think you can get authentication from the programs you want to skip Standard mode.
    2. Yes.  My usual approach is the default in Transparent with no auth with Standard mode Profiles.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    After some experimenting I now have all client PC's gaining access to the Internet only by using proxy settings. This has been achieved by creating a Firewall rule which only allows specific IP addresses/ranges to pass through it.

    I now have a new issue which is caused because all traffic regardless of originating IP address appears to come from the last hop which is the IP address of the MikroTik router that all internal traffic is routed through. Unless there is a way of making the Astaro use the originating IP address and not the last hop's address I cannot create Firewall rules in the Astaro to limit access.

    e.g.

    172.23.20.5(source) -> 172.23.20.1(MikroTik IN) -> 172.22.20.2(MikroTik OUT) -> 172.22.20.1(Astaro Internal IP)

    There are many subnets used in our LAN using the same route as above. There are a few static addresses on each subnet that need need Internet access without using the proxy.

    I would rather use the Astaro for defining Firewall rules and not the MikroTik.

    As always any suggestions will be gratefully received.

    Regards,
    Mark.
  • 0
    Did you define masquerade srcnat chain on your Out interface in Firewall/NAT configuration on Mikrotik ?
  • 0 in reply to vilic
    Hi,

    I'm pursuing the MikroTik route just now, that would appear to be the solution.

    Thanks for all your suggestions.

    Regards,
    Mark.