This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Weiterleitung an Webfilter

Hallo zusammen,

trotz setzen der entsprechenden Proxy-Einstellungen/Internetoptionen an Clients und Servern geht einiger Traffic am Proxy (im Standard-Modus) vorbei und versucht direkt / durch die Firewall nach draußen zu gehen.
Verursacht durch Programme, die keinen Proxy unterstützen oder diesen teilweise ignorieren bzw. einfach die WinHTTP-Einstellungen des Systems verwenden - die habe ich bis dato nie angefasst, stehen also auf "direkt". Möchte eigentlich auch ungerne den Proxy-Modus wechseln, da dann keine Authentifizierung mehr stattfindet?

Habe mir jedenfalls gedacht (auch länger zu gegoogelt), eine einfache NAT-Regel mit einer Dienstübersetzung von HTTP(S) auf den Proxy-Port sollte das dann erledigen. Wenn es dann - nach diversen Versuchen - funktioniert hat, den Traffic weiterzuleiten, bekomme ich im Webfilter für diesen Traffic einen Fehler "Invalid Request from Client".

Vielleicht führt jemand mich auf den richtigen Pfad ;)

Schonmal vielen Dank für eure Mühe und liebe Grüße...



This thread was automatically locked due to age.
Parents
  • Hallo Sushi,

    ich denke der korrekte Pfad wäre der Einsatz des transparenten Proxy. Diesen kannst Du somit parallel zum Standardmode betreiben. Alternativ muss man einige Firewall Regeln pflegen und den Traffic via Firewall (Network Protection) in das Internet freigeben.

    Beste Grüße

    Alex

    -

  • Hallo Alex,

    wie muss ich mir das vorstellen/einstellen: Parallel-Betrieb von transparenten und Standard Proxy? Kann doch nur eins im Webfilter einstellen...
    Von der zusätzlichen Pflege von FW-Regeln für HTTP-Verkehr will ich eigentlich weg.

  • Kennst Du diesen Artikel schon https://community.sophos.com/utm-firewall/f/recommended-reads/115522/sophos-utm-securing-and-configuring-web-filtering

    Der transparente Proxy dürfte sich doch mittels zusätzlichem Filterprofil (WebProtection -> Webfilterprofile) anlegen lassen?

    -

  • OK, über die Profile könnten beide Modi betrieben werden - aber nur jeweils für die definierten Netzwerke/Hosts. Das löst grade nicht mein Problem. Ich werde es vielleicht erst einmal mit dem setzen des WinHTTP-Proxys versuchen oder ganz den transparenten Modus versuchen.

    Möchte aber noch einmal kurz auf meine ursprüngliche Frage zurückkommen:
    Mit einer NAT-Regel lässt sich keine funktionierende Umleitung auf den Proxy bewerkstelligen?

  • Warum würde dies Dein Problem nicht lösen? (Stört die Definition der Netzwerke?)

    Ob sich die Umleitung mit einer NAT Regel umsetzen lässt kann ich Dir leider nicht sagen. Vielleicht ein anderer, sorry.

    -

  • Ich kann doch einen Client nur ein Profil zuordnen bzw. nur eines nutzen? Also entweder benutzt z.B. mein PC nur den Standard-Modus (weil das entsprechende Profil greift) - oder halt nur den transparenten Modus. Aber nicht Mal den einen oder Mal den anderen?
    Oder gibt es eine Kombination, in der ich meinen Client in beide Profile als "zugelassen" eintrage, und so z.B. bei Nutzung des Webbrowsers der Standard-Modus verwendet wird (da explizit der Port 8080 angewählt wird) und bei "direkten" Verbindungen (80/443) dann der transparente Modus verwendet wird?

  • Die Profile haben nichts zwingend mit den Einstellungen auf dem PC zu tun. Du kannst einen Proxy im Std. Modus nutzen und musst hier auf dem PC diesen hinterlegen, damit dieser genutzt wird, korrekt.
    Wie Du festgestellt hast, gibt es Software die kein Proxy zulässt. Hierbei kommt die UTM in's Spiel, denn transparenter Proxy bedeutet der PC geht normal via Port 80/443 raus und trotzdem über einen Proxy. In dem Dokument von DouglasFoster ist das ganz gut beschrieben. Persönlich nutze ich diesen nicht, jedoch sollte die Möglichkeit grundsätzlich bestehen. Und die Definitionen für einen Proxy wirst Du kaum für einen Rechner tätigen, sondern eben für ein ganzes Subnetz.

    Also Zusammenfassend kann ein PC (bzw. verschiedene Anwendungen auf diesem) IMHO sowohl einen Std Proxy als auch einen transparenten Proxy nutzen.

    Beste Grüße

    Alex

    -

  • Danke für deine Erklärung Alex, das werde ich Mal in Ruhe testen.

Reply Children
No Data