Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 14818 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

statuscode="407"

jazzoberoi
Hi,

I'm using the 9.310-11 firmware

I realized that in Standard (AD-SSO) mode, the UTM WebFilter logs each and every web request as statuscode="407". Is this really necessary ? I think i saw once in some changelog that this level of filtering was not going to happen.

The statuscode="407" does not get logged when using the Transparent (AD-SSO) mode.

2015:04:25-00:52:11 dvicsophosutm01-1 httpproxy[6403]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.0.30.49" dstip="" user="" ad_domain="" statuscode="407" cached="0" profile="REF_HttProContaInterHp5 (Employee (Standard) Proxy Profile)" filteraction=" ()" size="2681" request="0xcadaf000" url="www.civicscience.com/.../7.0; rv:11.0) like Gecko" exceptions="" 

2015:04:25-00:52:24 dvicsophosutm01-1 httpproxy[6403]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.30.49" dstip="" user="" ad_domain="" statuscode="407" cached="0" profile="REF_HttProContaInterHp5 (Employee (Standard) Proxy Profile)" filteraction=" ()" size="2673" request="0xcb2b2000" url="ping.chartbeat.net/ping

2015:04:25-00:52:24 dvicsophosutm01-1 httpproxy[6403]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.30.49" dstip="" user="" ad_domain="" statuscode="407" cached="0" profile="REF_HttProContaInterHp5 (Employee (Standard) Proxy Profile)" filteraction=" ()" size="2673" request="0xcb2b2000" url="ping.chartbeat.net/ping

2015:04:25-00:54:18 dvicsophosutm01-1 httpproxy[6403]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.0.20.205" dstip="15.201.225.95" user="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaInterHp (Server Internet Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Sophos-Block All Internet)" size="3130" request="0xa0f7800" url="15.201.225.95/" referer="" error="" authtime="1" dnstime="0" cattime="0" avscantime="0" fullreqtime="872413" device="3" auth="2" ua="" exceptions="av,url" 


This thread was automatically locked due to age.
  • 0
    You have a misconfiguration somewhere related to the "Employee (Standard) Proxy Profile."  How does your configuration differ from HTTP-S Proxy Access with AD-SSO?

    Cheers - Bob
  • 0
    Hi Balfson,

    Thanks for getting back to me..

    The only way I see my profile being different is in that I have used the DNS PAC/WPAD method with the FQDN instead of using the proxy server LAN address.

    Otherwise, I have no issues authenticating to the backend AD-SSO. It's just that I get those irritating status=407 messages in my webfitering logs.

    If required, let me know and I can post some screenshots of my configuration.

    Thanks.
  • 0
    Hi there.

    I'm having amost the same issue.

    I'm using sophos utm 9 - Firm. Version:9.313-3 Pattern Version:84407 for a week and i crossed with problem here.

    I've configured my sophos utm following the above how to: https://www.sophos.com/en-us/support/knowledgebase/115659.aspx.

    I've been using sophos 9 in a lab environment for a week,so far ,so good. But now I'm continuously getting errors in the web filtering log like (dstip="" user="" ad_domain="" statuscode="407"). I've noticed those errors after i tried to connect using the hosts. It pop's up a window asking for the username and password(Previously configured in the Web Filtering - Block access on authentication failure).After that no conection at all. I have to reboot the UTM and after reboot it, it works normally,even the user and domain is shown in the logs again. The same happens after one hour and twenty min and i have to do all over again.

    What i did now is leave the rule [BLOCK_ALL]in  the Base Policy in accept all content to figure out a solution.

    I've searched for every help here ,but none worked for my case.

    Here's an example of the Web Filtering log.

    name="http access" action="pass" method="CONNECT" srcip="192.168.1.167" dstip="" user="" ad_domain="" statuscode="407" cached="0" profile="REF_HttProContaInterNetwo (MLPC-OFFICE)" filteraction=" ()" size="2629" request="0x13cb5000" url="gg.google.com/.../537.36" exceptions="" 


    Thanks anyway!
  • 0
    Do you see anything about winbindd in the Fallback or System messages log?  Is there anything in the AD server's Kerberos log about these failed authentications?  When the 407 codes start, is there more than 5 minutes difference between the AD server and the UTM?

    Cheers - Bob