Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 30177 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access to http://127.0.0.1:9000

udeo
Hi everybody

I'm almost at the end of configuring our new UTM 320 (v 9.109-1) and now I have a problem with web filtering.
We have a few users that need to connect from time to time with a USB token to an e-banking website. The special part about it is, that when the token is activated (there is an exe file on it that has to be started) it first goes to http://127.0.0.1:9000/app/. At this point, I get a timeout from the browser and I don't see anything in the web filtering log. If I enter the neccessary URL's manually in the browser, I see them as allowed in the log. But of course this doesn't work for the user because the token is needed for the connection.
The webfilter is configured in standard mode and the proxy auto configuration is active with a working script. In this script I have the subnet 127.0.0.0 excluded. This works for a website I have on my laptop. But this website runs on standard http port and not on port 9000.
My guess is, that somehow this port 9000 is the problem. But I don't know how I can solve it. I already tried not to use the proxy autoconfiguration and manually added the proxy to the browser and exlcuded the IP 127.0.0.1 there. But it's the same.

I hope somebody can help me.


This thread was automatically locked due to age.
  • 0
    Hi, udeo,

    Please post the line from the Web Filtering log where this access is blocked.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    127.0.0.1 is your local host.  So it sounds like the computer with the USB stick starts up a web service and tries to connect to it on your computer.  You specifically do not want these to go through your proxy server.

    In IE, make sure the "Bypass proxy server for local addresses" is checked.  Alternately, go into advanced and add 127.0.0.1 to the Exceptions.
  • 0
    You might want to run WireShark and rawcap on the computer to confirm the traffic that is staying on the local host and the traffic that is departing the local host.
  • 0 in reply to teched_01
    @ Bob:
    There is no such line. And there shouldn't be one. Because I excluded 127.0.0.1 in the wpad.dat.

    @ Michael:
    I already tried that with no success.

    @ teched:
    I'll do that.
  • 0
    This has to be something on the windows computer.  Was this working before you introduced the UTM?

    If so - the only difference is the wpad file.  If there was no wpad and the configuration was reset then the computer thinks it has a direct internet connection and it works?

    Have you tried not using a wpad and doing an equivalent manual configuration?  Nothing else changed such as Windows Firewall or Sophos Endpoint (which includes a firewall)?

    The other thought I had was regarding the system-level proxy.  This is not the proxy setting that is used in IE which is user-specific.  This is the proxy that is used by things like services that start up and run on system account.  Google for "netsh winhttp".  Make sure that this is unset.

    I agree that you really need to wireshark to figure out where your packets are going.
  • 0 in reply to Michael Dunn
    Wireshark did it!

    I found out that this USB stick tries to connect to the UTM (proxy) without the Windows user credentials, it uses the computer account.
    I set up webfilter profiles based on AD user groups and this way, it used the default filter action and blocked the access to the banking website. The strange thins is, there was nothing in the webfilter log. Only with wireshark I saw the error message the webfilter gave back to the client.
    I configured an exception and now it works.
  • 0
    Do you know if it was blocked because the user could not be authenticated or because it hit the fallback action?

    Users being blocked due to not being able to authenticate do not appear in the log.  The log would become very noisy if this were not the case - the way AD SSO challenge and response works is that everything connection starts by failing.
  • 0 in reply to Michael Dunn
    Do you know if it was blocked because the user could not be authenticated or because it hit the fallback action?


    I'm not sure but I guess because the user (computer account) wasn't authenticated. Because I authenticate based on AD groups this would make sense.

    I have (or had) a problem with another e-banking solution. Again, the access goes over an USB token. But this time, the exeption didn't work. I used the same pattern as in the exception for the first e-bankning solution:
    ^https?://([A-Za-z0-9.-]*\.)?migrosbank\.ch/
    I also tried these two URL's as exceptions (only these two URL's are needed to get access with this USB token):
    https://mid.migrosbank.ch
    https://midupg.migrosbank.ch

    What did work in the end was, when I added the IP addresses of the two URL's above to the "Skip transparent mode destination hosts/nets"in "Web Filtering" -> "Advanced".

    Maye somebody can explain why the exception didn't work in this case? I'm pretty new to the Sophos UTM world and I don't really know if this is the best way to do what I want to do.

    Thanks for the help.
Unfiltered HTML