Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Technical details why proxy superseeds firewall

scorpionking
Hi all!

Can anyone tell me the technical details, why the web proxy comes before firewall rules?
We currently have a problem with the proxy (standard mode) allowing connections to all of our secured networks (servers, customer systems) which means a huge security risk.
I know of the possibility to block these connections with blacklists but that would mean that we have to maintain a list of more than 500 networks and servers (each with DNS name, host name and IP address). That's not feasible.

Or ist there any other more reasonable solution?

Thanks.


This thread was automatically locked due to age.
  • 0
    Although it doesn't directly address your situation, you might click on my name beside the Cyrano avatar to send me an email requesting a document I maintain, "Configure HTTP Proxy for a Network of Guests - V9.3."

    Cheers - Bob
  • 0
    Not necessarily the whole picture:
    iptables-save | grep TPROXY



    Are cc/confd-client.plx and the command line more feasible/reasonable in your environment?
  • 0
    I would like to join this discussion. As FortiNet converts we had to deal with this also (being new to Sophos and all). 

    I understand that in transparent mode, the source IP is substituted and traffic is passed that way, but the UTM still should respect any existing firewall rules.
  • 0
    Hi, x-ing, and welcome to the User BB!

    Check out #2 in Rulz and the associated diagram.

    You can get better help here if you tell us what you want to accomplish. The UTM can do more than the Fortigate, but it will do so differently.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, x-ing, and welcome to the User BB!

    Check out #2 in Rulz and the associated diagram.

    You can get better help here if you tell us what you want to accomplish. The UTM can do more than the Fortigate, but it will do so differently.

    Cheers - Bob


    Fantastic, thank you! Honestly, after our Forti unit I kind of feel like Forest Gump running free without his leg braces-things [:)] It's a great thing, but honestly, one thing that Sophos absolutely lacks is proper, thorough documentation. When a sysadmin needs to rely on his helpful peers rather than on official documentation to configure a product, you know there's a problem. I really hope they work on this more. 

    Thank you!
  • 0
    proper, thorough documentation
    The definition of which is highly subjective.  In Sophos UTM land, you have the Admin Guide/built-in help system, the knowledgebase https://secure2.sophos.com/en-us/support/knowledgebase/b/2450.aspx, a number of introductory videos Sophos UTM YouTube videos, and searching here on the forums.
  • 0 in reply to teched_01
    Thanks Bob.

    Are cc/confd-client.plx and the command line more feasible/reasonable in your environment?

    Yes, but that would void support... [;)]