Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 4627 views
  • Users 0 members are here
Options
Suggested

[8.296][NOTABUG][CLOSED] Packet filter log doesn't show port 80 traffic

Billybob
Hi, if I add a PC to the webfiltering->advanced-> skip transparent mode list, the port 80 traffic is not shown in the packet filter live log although the traffic is not going through proxy.

Screenshots:
1. Setup packet filter to allow all packets and log them.
2. Enable http proxy in standard or transparent mode. (tested with both modes)
3. Add an exception for transparent list.

Regards
Bill
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.296
    Type: NOTABUG
    State: CLOSED
    Reporter: Billybob
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    [;)] I think it may be face-palm time, Bill... 

    The 'Transparent mode skiplist' is only valid in Transparent mode.  Even if you specify 'Transparent mode', if your browser is configured for the proxy, the proxy operates for it in 'Standard mode'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    [;)] I think it may be face-palm time, Bill... 

    I sure hope not[:D] Let me explain further...
    I actually found the bug using transparent mode because that is what I use for everyday purposes. In transparent mode there is nothing in the live log when there is exception in the bypass list. You see all the other traffic eg. msn messenger etc using port 1863 but nothing for port 80. 

    In standard mode, if you put the PC in transparent mode skip list, and then don't use the proxy in the browser configuration, there is still nothing in the live log. In essence, although you are not using proxy at all in standard mode, the live log is still missing. Give it a try and see for yourself.

    Regards
    Bill
  • 0
    Can't see from your screenshot, but I'm assuming the "allow traffic" is unchecked for the transparent mode skip list?
  • 0
    This is intended behavior. The skiplist has a higher precedence and 'overrules' the packet filter entry wrt logging. If you want to see the entries in the packet filter log, simply drop that host from the skip list.

    Regards,
    Kai
  • 0 in reply to kbr
    This is intended behavior. The skiplist has a higher precedence and 'overrules' the packet filter entry wrt logging. If you want to see the entries in the packet filter log, simply drop that host from the skip list.

    Hi Kai, nice to see you around. I am not sure what you mean by intended behavior. This has not been the behavior in the past. If the traffic is not handled by proxy then it is handled by packet filter. If I turn off the packet filter, I can see default drop but if I enable the packet filter I don't see anything in packet filter log.

    I understand that you don't see the traffic that is handled by proxy. But in this case the proxy is not handling the traffic and there is no record of it in http.log since I am bypassing it and the packet filter is not logging it.
     
    How am I supposed to monitor this traffic?
    Regards
    Bill
  • 0 in reply to dilandau
    Can't see from your screenshot, but I'm assuming the "allow traffic" is unchecked for the transparent mode skip list?

    Sorry for the bad screenshot. The allow traffic is checked for transparent mode skiplist. I think I understand what is going on now. Thanks for the hint.
    From astaro manual

    To allow HTTP traffic (without proxy) for these hosts and networks, select the Allow HTTP Traffic for Listed Hosts/Nets checkbox. If you do not select this checkbox, you must define specific firewall rules for the hosts and networks listed here


    Since I have the checkbox selected, there is an automatic firewall rule created which doesn't display the traffic in packet filter logs. The question then remains is how do you monitor this traffic? The answer is uncheck the box and manually create your own rules if you want to see it.

    Thanks for the help guys, I redid my configuration from scratch before the beta and am learning a few quirks that you forget while importing the backup every time.

    Regards
    Bill
  • 0 in reply to Billybob
    Hi Bill,

    I am not sure what you mean by intended behavior. 


    Well, what i mean is that it behaves exactly in the way we had designed it... ;-)
     

    How am I supposed to monitor this traffic?


    You answered that question yourself in the other post above, didn't you? If you like me to talk to the proxy guys again, just drop me a note. We see you point, and this might make it into V9 as a mini feature next year.

    Cheers,
    Kai
Unfiltered HTML