Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 38 subscribers
  • Views 588 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

http proxy profile greifen nicht?

hagman_01
Hallo, mein Plan ist:
Alle aus 10.0.0.0/24 dürfen alles außer www.foo.example ansurfen
Mein Held 10.0.0.99 darf www.foo.example ansurfen, dafür www.bar.example nicht.

Meine Umsetzungsidee:

Web Security -> HTTP -> Global: 
   Allowed networks = "Netz 10.0.0.0/24"
   Operation mode: standard

Web Security -> HTTP -> Content Filter: 
   Allow content that does not match the criteria below
   Additional sites to block: www.foo.example

Web Security -> HTTP Profiles -> Filter Actions:
   Name: Foo-Action
   Mode: Allow by default
   Block these URLS: www.bar.example

Web Security -> HTTP Profiles -> Proxy Profiles:
   Source networks = "Host 10.0.0.99"
   Filter Assignment [Haken] Default Filter Assignment
   Fallback action: Foo-Action
   Operation Mode Standard

Nach meinem Verständnis sollte Folgende passieren, wenn 10.0.0.99 auf www.bar.example will:
Erst wird mit dem speziellen Profil verglichen (=10.0.0.99?) und erst später mit dem Default-Profil (in 10.0.0.0/24?). Da hier der erste Fall eintrifft, wird der zweite jedoch per se gar nicht erst betrachtet.
Da das spezielle Profil keinen Filter hat, wird die Default-Aktion, also "sperre www.bar.example" ausgeführt.

Leider beobachte ich, dass www.bar.example für 10.0.0.99 nicht gesperrt wird - stattdessen wird, wie für den rest des Netzes, www.foo.example gesperrt.
Ich schätze, das liegt daran, dass der "Default Filter" (siehe HTTP->Global) greift und auf die globale "Default Action" (sperre www.foo.example) statt die default action des Profils verweist?

Nun gut, eigentlich wollte ich ohnehin statt "Default filter assignement" lieber "No filter Assignment" haben, inspiriert durch das mittleres Beispiel unter Web Security -> HTTP Profiles -> Overview. 
Das Dumme ist, dass ich das Profil dann nicht enablen kann...
Der einzig auffällige Unterschied zu jenem Beispiel ist, dass dort "Type: Transparent" verwendet wird, aber das hat bei mir keinen Unterschied gemacht - das Profil ließ sich auch dann nicht enablen.

Wo liegt der Fehler??

Danke im Voraus
hagman


This thread was automatically locked due to age.
Parents
  • 0
    Du brauchst dafür 2 Profile,
    die Reihenfolge der Profile spielt eine wichtige Role.
    Bei deinem Beispiel sollte das Profil für den Helden an erster Stelle stehen.
    Für jedes Profil musst entsprechende Filter und Actions anlegen

    Gregor Kemter
Reply
  • 0
    Du brauchst dafür 2 Profile,
    die Reihenfolge der Profile spielt eine wichtige Role.
    Bei deinem Beispiel sollte das Profil für den Helden an erster Stelle stehen.
    Für jedes Profil musst entsprechende Filter und Actions anlegen

    Gregor Kemter
Children
No Data
Unfiltered HTML