Weiterleitung an Webfilter

Hallo zusammen,

trotz setzen der entsprechenden Proxy-Einstellungen/Internetoptionen an Clients und Servern geht einiger Traffic am Proxy (im Standard-Modus) vorbei und versucht direkt / durch die Firewall nach draußen zu gehen.
Verursacht durch Programme, die keinen Proxy unterstützen oder diesen teilweise ignorieren bzw. einfach die WinHTTP-Einstellungen des Systems verwenden - die habe ich bis dato nie angefasst, stehen also auf "direkt". Möchte eigentlich auch ungerne den Proxy-Modus wechseln, da dann keine Authentifizierung mehr stattfindet?

Habe mir jedenfalls gedacht (auch länger zu gegoogelt), eine einfache NAT-Regel mit einer Dienstübersetzung von HTTP(S) auf den Proxy-Port sollte das dann erledigen. Wenn es dann - nach diversen Versuchen - funktioniert hat, den Traffic weiterzuleiten, bekomme ich im Webfilter für diesen Traffic einen Fehler "Invalid Request from Client".

Vielleicht führt jemand mich auf den richtigen Pfad ;)

Schonmal vielen Dank für eure Mühe und liebe Grüße...

  • Hallo Sushi,

    ich denke der korrekte Pfad wäre der Einsatz des transparenten Proxy. Diesen kannst Du somit parallel zum Standardmode betreiben. Alternativ muss man einige Firewall Regeln pflegen und den Traffic via Firewall (Network Protection) in das Internet freigeben.

    Beste Grüße

    Alex

    -

  • Hallo Alex,

    wie muss ich mir das vorstellen/einstellen: Parallel-Betrieb von transparenten und Standard Proxy? Kann doch nur eins im Webfilter einstellen...
    Von der zusätzlichen Pflege von FW-Regeln für HTTP-Verkehr will ich eigentlich weg.

  • Kennst Du diesen Artikel schon https://community.sophos.com/utm-firewall/f/recommended-reads/115522/sophos-utm-securing-and-configuring-web-filtering

    Der transparente Proxy dürfte sich doch mittels zusätzlichem Filterprofil (WebProtection -> Webfilterprofile) anlegen lassen?

    -

  • OK, über die Profile könnten beide Modi betrieben werden - aber nur jeweils für die definierten Netzwerke/Hosts. Das löst grade nicht mein Problem. Ich werde es vielleicht erst einmal mit dem setzen des WinHTTP-Proxys versuchen oder ganz den transparenten Modus versuchen.

    Möchte aber noch einmal kurz auf meine ursprüngliche Frage zurückkommen:
    Mit einer NAT-Regel lässt sich keine funktionierende Umleitung auf den Proxy bewerkstelligen?

  • Warum würde dies Dein Problem nicht lösen? (Stört die Definition der Netzwerke?)

    Ob sich die Umleitung mit einer NAT Regel umsetzen lässt kann ich Dir leider nicht sagen. Vielleicht ein anderer, sorry.

    -

  • Ich kann doch einen Client nur ein Profil zuordnen bzw. nur eines nutzen? Also entweder benutzt z.B. mein PC nur den Standard-Modus (weil das entsprechende Profil greift) - oder halt nur den transparenten Modus. Aber nicht Mal den einen oder Mal den anderen?
    Oder gibt es eine Kombination, in der ich meinen Client in beide Profile als "zugelassen" eintrage, und so z.B. bei Nutzung des Webbrowsers der Standard-Modus verwendet wird (da explizit der Port 8080 angewählt wird) und bei "direkten" Verbindungen (80/443) dann der transparente Modus verwendet wird?

  • Die Profile haben nichts zwingend mit den Einstellungen auf dem PC zu tun. Du kannst einen Proxy im Std. Modus nutzen und musst hier auf dem PC diesen hinterlegen, damit dieser genutzt wird, korrekt.
    Wie Du festgestellt hast, gibt es Software die kein Proxy zulässt. Hierbei kommt die UTM in's Spiel, denn transparenter Proxy bedeutet der PC geht normal via Port 80/443 raus und trotzdem über einen Proxy. In dem Dokument von DouglasFoster ist das ganz gut beschrieben. Persönlich nutze ich diesen nicht, jedoch sollte die Möglichkeit grundsätzlich bestehen. Und die Definitionen für einen Proxy wirst Du kaum für einen Rechner tätigen, sondern eben für ein ganzes Subnetz.

    Also Zusammenfassend kann ein PC (bzw. verschiedene Anwendungen auf diesem) IMHO sowohl einen Std Proxy als auch einen transparenten Proxy nutzen.

    Beste Grüße

    Alex

    -

  • Danke für deine Erklärung Alex, das werde ich Mal in Ruhe testen.

  • Hallo,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Alex has you on the right Pfad.  You also might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address.  Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ich muss doch nochmal nachhaken:

    Habe nun versucht, den transparenten Proxy zu testen - leider ohne Erfolg.
    Ich habe ein zusätzliches Profil für den transparenten Proxy erstellt - steht an erster Stelle der Reihenfolge (der Proxy im Standard-Modus ist/bleibt "Default"). Als zugelassene Netzwerke habe ich zum testen nur meinen Client-PC hinterlegt.

    - Obwohl ich im Browser den Standard-Proxy (8080) hinterlegt habe, greift beim Surfen das neue Profil für den transparenten Proxy, obwohl das m.E. nur für Port 80/443 verwendet werden sollte.
    -  Nehme ich den Proxy im Browser raus (benutze also bewusst den transparenten Proxy), funktioniert das AD SSO nicht. Habe viel mit Problemen bzgl. AD SSO und dem transparenten Proxy gelesen und es einfach mal mit "ohne Authentifizierung" versucht. Will aber auch nicht, da kein User übergeben wird und somit immer nur meine Default-Block-Policy greift. Funktionieren Poilcies in Verbindung mit "ohne Authentifizierung" grundsätzlich nicht?

    Vielleicht hierzu auch ein paar Tips für mich?