Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 23807 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PAC file help

Ross86
I'm in need of some help with the proxy settings.

I'm running the UTM in transparent with AD SSO and no SSL scanning.

I want to setup standard mode with AD SSO so I can fully decrypt and scan SSL.

If I create a pac file and paste it into the auto config settings on the UTM and tick auto configuration, I'm deploying the browser settings to users via GPO registry. What settings should I have?

My UTM is in internal DNS as utm.domain.com IP 10.0.0.254.  In the pac file does it need to be 10.0.0.254:8080 or can I use Utm.domain.com:8080?  Likewise In the browser auto url does it have to be Http://10.0.0.254:8080/wpad.dat or can this be dns host name?

I've played around with different combinations but wondered what the correct way should be.

If a user doesn't have any proxy browser settings it just lets them out to any site, I basically want them to go through the web protection proxy and if they can't don't allow them to the internet, however if they aren't on the corporate network then I would  allow them to go direct to the internet.

There are so many kbs on how to configure it and how to distribute it's confusing!


This thread was automatically locked due to age.
Parents
  • 0
    OK, I'll try to explain it.

    First, you've never seen that blocked because I think, you've never configured WPAD in DNS [;)]

    1.
    Example with WPAD entry in DNS and NAT Rule off. Proxy Profil is in transparent mode. First start Internet Explorer: 
    20:39:42 	Default DROP 	TCP 	  	

    192.168.24.60 	: 	2563

    	→ 	

    192.168.24.1 	: 	80

    	  	

    [SYN] 	len=52 	ttl=128 	tos=0x00 	srcmac=84:3a:4b:a1:c6:a3 	dstmac=0:1a:8c:f0:4b:a1

    20:39:43 	Default DROP 	TCP


    Netstat: 
    C:\Users\mod>netstat -n |find ":80"

      TCP    192.168.24.60:2732     46.51.145.137:80       HERGESTELLT

      TCP    192.168.24.60:2746     85.183.195.128:80      HERGESTELLT

    The browser connects to the destination directly over the transparent proxy.

    2.
    Example with WPAD entry in DNS and NAT Rule on. Proxy Profil is in transparent mode. First start Internet Explorer: 
    21:11:33 	NAT rule #1 	TCP 	  	

    192.168.24.60 	: 	2920

    	→ 	

    192.168.24.1 	: 	80

    	  	

    [SYN] 	len=52 	ttl=128 	tos=0x00 	srcmac=84:3a:4b:a1:c6:a3 	dstmac=0:1a:8c:f0:4b:a1


    Netstat: 
    C:\Users\mod>netstat -n |find ":80"

      TCP    192.168.24.60:2941     192.168.24.1:8080      HERGESTELLT

      TCP    192.168.24.60:2947     192.168.24.1:8080      HERGESTELLT


    The browser connects to the transparent proxy.

    Explanation:
    I can't describe this behavior exactly.
    1. I think the packet filter has a higher priority then the web proxy and port 80 is a shared port. I hope a sophos developer can explain this.
    2. The transparent proxy listens also to port 8080.

    Microsoft Direct Access:
    The automatic proxy configuration is the only solution for DA Clients that works without problems, if they must use the internal proxy. With static entrys in the browser an external employee can't connect to the DA Server, if he is in a hotel behind a hotspot.

    With The automatic proxy configuration and a WPAD entry this is working perfectly. The first request times out and the browser can connect directly to the hotspot portal. After authorisation the client can access the internal DNS server and WPAD can be resolved. Therefore, the client then connects to the internal proxy.

    regards
    mod
Reply
  • 0
    OK, I'll try to explain it.

    First, you've never seen that blocked because I think, you've never configured WPAD in DNS [;)]

    1.
    Example with WPAD entry in DNS and NAT Rule off. Proxy Profil is in transparent mode. First start Internet Explorer: 
    20:39:42 	Default DROP 	TCP 	  	

    192.168.24.60 	: 	2563

    	→ 	

    192.168.24.1 	: 	80

    	  	

    [SYN] 	len=52 	ttl=128 	tos=0x00 	srcmac=84:3a:4b:a1:c6:a3 	dstmac=0:1a:8c:f0:4b:a1

    20:39:43 	Default DROP 	TCP


    Netstat: 
    C:\Users\mod>netstat -n |find ":80"

      TCP    192.168.24.60:2732     46.51.145.137:80       HERGESTELLT

      TCP    192.168.24.60:2746     85.183.195.128:80      HERGESTELLT

    The browser connects to the destination directly over the transparent proxy.

    2.
    Example with WPAD entry in DNS and NAT Rule on. Proxy Profil is in transparent mode. First start Internet Explorer: 
    21:11:33 	NAT rule #1 	TCP 	  	

    192.168.24.60 	: 	2920

    	→ 	

    192.168.24.1 	: 	80

    	  	

    [SYN] 	len=52 	ttl=128 	tos=0x00 	srcmac=84:3a:4b:a1:c6:a3 	dstmac=0:1a:8c:f0:4b:a1


    Netstat: 
    C:\Users\mod>netstat -n |find ":80"

      TCP    192.168.24.60:2941     192.168.24.1:8080      HERGESTELLT

      TCP    192.168.24.60:2947     192.168.24.1:8080      HERGESTELLT


    The browser connects to the transparent proxy.

    Explanation:
    I can't describe this behavior exactly.
    1. I think the packet filter has a higher priority then the web proxy and port 80 is a shared port. I hope a sophos developer can explain this.
    2. The transparent proxy listens also to port 8080.

    Microsoft Direct Access:
    The automatic proxy configuration is the only solution for DA Clients that works without problems, if they must use the internal proxy. With static entrys in the browser an external employee can't connect to the DA Server, if he is in a hotel behind a hotspot.

    With The automatic proxy configuration and a WPAD entry this is working perfectly. The first request times out and the browser can connect directly to the hotspot portal. After authorisation the client can access the internal DNS server and WPAD can be resolved. Therefore, the client then connects to the internal proxy.

    regards
    mod
Children
No Data