This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Die alte Kamelle: Web Filter Ausnahmen

Moin und danke vorab für alle hilfreichen Tipps, ich stehe gerade echt auf dem Schlauch.

Folgende Threads habe ich schon durch, aber das ist nicht exakt das gleiche Problem und hilft leider nicht weiter.

 Sophos UTM 9 sperrt Website trotz freigabe 

Hier war der Endpoint derjenige der die Verbindung blockiert hat, allerdings auf dem Gerät wo ich die Fehlermeldung erhalte ist aber noch kein Endpoint drauf, nur der Management Agent und dieser soll den Endpoint über das Repository installieren. Also würde ich das Ausschließen.

 Web Filter blockt trotz Ausnahme 

Bei diesem Lösungsvoschlag geht es um die Regulären Ausdrücke, womit ich auch Arbeite und hier hänge ich dann auch.

Ausgansszenario: UTM 9.716-2 mit Proxy im Standard Modus und "Block access on authentication failure" eingeschaltet

Wir haben ESET Endpoint Security im Einsatz und dieser soll bitte ohne Proxy Auth zu seinem Update Repository https://repository.eset.com kommen, einfach um Updates unabhängig von der Benutzeranmeldung machen zu dürfen.

Ich habe unter Exceptions eine Regel erstellt der die URLs berücksichtigt 

^https?://([A-Za-z0-9.-]*\.)?eset\.com/
^https?://avcloud.e5\.sk/
^https?://dnsj.e5\.sk/
^https?://([A-Za-z0-9.-]*\.)?eset\.systems/

in der Exception sind alle Dienste angehakt. 

im Policy Helpdesk wenn ich auf repository.eset.com möchte und keinen User angebe sagt er mir auch das es Allowed ist und welche Exception greift.
Dennoch erhalte ich diese Fehlermeldungen im Web Filter Log.

2023:09:21-16:28:41 proxy01-2 httpproxy[8607]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="xxx.xxx.xxx.xxx" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_StbjGRqJzW ((alt)-IT-ADMIN )" filteraction=" ()" size="2610" request="0x26ba400" url="">repository.eset.com:80/.../metadata3" referer="" error="" authtime="0" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="188" device="0" auth="3" ua="ERA Agent Update (Windows; U; 64bit; BPC 10.0.1126.0; OS: 10.0.19045 SP 0.0 NT; x64c; APP era; HWF: 0100F5A9-0FD4-4C7E-A583-07EBFDFF00ED; PLOC en_US; PCODE 901.0.0; PX 1)" exceptions=""

2023:09:21-16:29:03 proxy01-2 httpproxy[8607]: id="0003" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="xxx.xxx.xxx.xxx" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_StbjGRqJzW ((alt)-IT-ADMIN )" filteraction=" ()" size="2610" request="0x7f6c0a7ce000" url="">repository.eset.com:80/.../metadata3" referer="" error="" authtime="92" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="48836" device="0" auth="3" ua="ERA Agent Update (Windows; U; 64bit; BPC 10.0.1126.0; OS: 10.0.19045 SP 0.0 NT; x64c; APP era; HWF: 0100F5A9-0FD4-4C7E-A583-07EBFDFF00ED; PLOC en_US; PCODE 901.0.0; PX 1)" exceptions=""

2023:09:21-16:29:03 proxy01-2 httpproxy[8607]: id="0003" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="xxx.xxx.xxx.xxx" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_StbjGRqJzW ((alt)-IT-ADMIN )" filteraction=" ()" size="2610" request="0x7f6c107c2000" url="">repository.eset.com:80/.../metadata3" referer="" error="" authtime="0" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="187" device="0" auth="3" ua="ERA Agent Update (Windows; U; 64bit; BPC 10.0.1126.0; OS: 10.0.19045 SP 0.0 NT; x64c; APP era; HWF: 0100F5A9-0FD4-4C7E-A583-07EBFDFF00ED; PLOC en_US; PCODE 901.0.0; PX 1)" exceptions=""

2023:09:21-16:29:25 proxy01-2 httpproxy[8607]: id="0003" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="xxx.xxx.xxx.xxx" dstip="" user="" group="" ad_domain="" statuscode="407" cached="0" profile="REF_StbjGRqJzW ((alt)-IT-ADMIN )" filteraction=" ()" size="2610" request="0x7f6c0a894000" url="">repository.eset.com:80/.../metadata3" referer="" error="" authtime="104" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="51120" device="0" auth="3" ua="ERA Agent Update (Windows; U; 64bit; BPC 10.0.1126.0; OS: 10.0.19045 SP 0.0 NT; x64c; APP era; HWF: 0100F5A9-0FD4-4C7E-A583-07EBFDFF00ED; PLOC en_US; PCODE 901.0.0; PX 1)" exceptions=""

er meldet auch das der "http access" im ersten schritt "pass" ist aber im zweiten schritt dann den "web request blocked" beides aber mit dem Fehler 407, ich bin verwirrt.



This thread was automatically locked due to age.
  • Es hat keine exception gegriffen: exceptions=""

    Ich würde sagen, die regex ^https?://([A-Za-z0-9.-]*\.)?eset\.com/ passt nicht zu url="">repository.eset.com:80/.../metadata3" 

    mindestens das ":80" passt nicht (wer macht denn sowas?)

    Versuch mal ^https?://([A-Za-z0-9.-]*\.)?eset\.com:80/ hinzuzufügen ...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Moin Dirk, 

    danke dir fürs mitdenken, das war der ausschlaggebende Punkt! 
    Ich habe die Ausnahmeregel wie vorgeschlagen angepasst und die Anfragen sind mit Statuscode 200 durchgegangen. 
    Ich war anfangs ebenso verwirrt wie du wegen der spezifischen Portangabe im Link....

    Vielen Dank und viele Grüße