This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Requests: configuration proxy profiles for use different public source IP

[LEFT]I would like to add feature request: possibility of configuration  http proxy profiles for use different public source IP addresses the same way as is  done by doing SNAT for outgoing packets from different local networks.
[LEFT]Today, all outgoing traffic  by proxy using the main address of the interface, which has a default gateway  configured. This often causes problems, because often we want to different local area  networks were visible on the outside with different public IP addresses (which  can be configured as additional addresses public WAN interface).[/LEFT]

Since I use Astaro and its proxy is still lacking this feature to me, I hope that  the rest of the Astaro also notes the need for it.

Best Regards,
WaMaR
[/LEFT]


This thread was automatically locked due to age.
  • Please vote for it on the page WebSecurity: Extra Transparent HTTP Proxy

    Best Regards,
    WaMaR
  • I think the Endian firewall allows you to nominate the Ip address/interface to be used for each proxy they have.  It makes it all very simple with no SNAT rules or policy based routing rules to be set.  All handled by the system.

    I'd love to see this capability in Astaro.  HTTP, SMTP, VoIP, POP etc all could be set to separate interfaces or IPs without having bother with potential conflicts or multiplicity of (confusing) rules.  Let's face it, by the time you have a number of Policy Based Rules and SNAT rules set up (in different locations), it becomes confusing to visit it again later and worked out was was done and why.
  • [LEFT]Thanks for your understanding and invite you to vote at WebSecurity: Extra Transparent HTTP Proxy
    in support for this idea.

    Best Regards,
    WaMaR
    [/LEFT]
  • Once upon a time I was not on the forum, but from what I see the problem with using only a single IP address for the HTTP and SMTP Proxy (the most important of all the proxies) is further along in Astaro Version 8.

    It is a great pity that Astaro is not yet offers opportunities for different configurations such as the local subnet with different security policies for use proxy with additional public IP addresses configured on the WAN interface.

    Please more vote for this issue.
    I believe that many of us who use more than one local subnet, such functionality is long overdue.

    Best Regards,.
    WaMaR
  • I would like to understand more about why this is important to you. What is the use case? Currently if you have multiple subnets, they can all be handled by the HTTP proxies, even if you need entirely different proxies for each net and not just different profiles. 

    What use case creates the need where these different nets need to represent themselves as different IP addresses to the Internet? If you could let me know on that, we'll be able to better gauge the impact and other benefits. Thanks in advance wamar.
  • A company installs a new Astaro Wireless Access point for guests, and doesn't want the guests' surfing to go via the primary WAN connection along with the company's traffic.

    A PR firm's creative department has large uploads and downloads that conflict with the sales department's work which needs its own WAN connection.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thank BAlfson as one of the examples. In fact, these scenarios can be many thousands. The problem is not only HTTP but also SMTP Proxy and others. 

    Especially in larger organizations is particularly important that the various departments and separate local area networks with different security policies can use a variety of dedicated and public IP addresses, even when they use corporate proxy service. 

    For example, in universities: 
    Subnet used by the accounting office has a different security policy than the subnet of a shared computer lab students. In the event that the application of abuse, a different public IP address allows you to quickly determine from which part of the network event occurred. It also facilitates the analysis of statistics and log files such as Web servers in such institutions, different public proxy IP addresses so you can quickly distinguish between the traffic in this case, students and employees of such institutions. 

    Another example of life: 
    Your ISP as standard with high-speed Internet connections, you assign a separate public address for your router, the subscriber's 30-bit mask in a RIPE registered to the pool of your operator for connections such as ATM and BGP-having a reverse DNS to / from the company to / from your domain ISP. Separately and get more from your ISP public IP address pool for your own use. For example, 24 bits or more often eg 27 bit smaller because of the deficit in the IP address version 4 The problem arises when the then configure Astaro without an additional router to support such a link. Then you are set on the external interface IP address with a mask of 30 bits and set the default gateway. Running any proxy makes Astaro uses this one address. In the case of SMTP Proxy is very important to register it in the Reverse DNS to what is usually impossible in contrast to the IP addresses of the other range.
  • As of 03 June 2017, this is now possible! See How to change the outgoing interface for Web Filtering.

    Rather than use the suggested method of enabling this capability, do the following as root:

    cc set http enable_out_interface 1

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA