This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.305] HTTP-Profiles and Filter Assignments

Hi there,

I think we need to use profiles on the web proxy. I tried this on my software appliance.

Under "Filter Actions" I defined a action for every option:

- Allowed sites
- Blocked sites
- Blocked categories (Sales)
- Blocked categories (Others)
- Blocked extensions

My intention was, if I need to change the filter actions I've to go to one point and configure and not to change the content for more than one filter action.

For each action I set a "Filter Assignment" with dual AV enabled.

These assignments I used for (two) profiles in transparent mode with default filter action as fallback and no time limit:
[PHP]
Sales:
------
Transparent mode enabled
Source networks:    hst_One
                    SSL User(User Network)
Filter Assignments: Blocked Extensions
                    Blocked Sites
                    Allowed Sites
                    Blocked Categories (Sales)
Fallback Action:    Default content filter action

Others:
------
Transparent mode enabled
Source networks:    Internal (Network)
Filter Assignments: Blocked Extensions
                    Blocked Sites
                    Allowed Sites
                    Blocked Categories (Others)
Fallback Action:    Default content filter action[/PHP]

But it wouldn't work as expected. Maybe I understood something wrong in the functionality of profiles.

At the moment we have an exception defined for Sales without URL filtering. But Sales should also go through the URL filter only without blocking of suspicious and uncategorized sites...

Can I use more than one specified filter assignment in a profile where one filter assignment is assigned to one filter action? Or is it not possible and I have to define every profile with only one filter assignment and its filter actions?

TIA, Steffen


This thread was automatically locked due to age.
Parents
  • Steffen, It appears to me that you are using filter actions and assignments correctly.

    I wonder if you aren't confusing things by having, in effect, two profiles for your 'Internal (Network)' - the 'Default' as defined in 'Web Security >> HTTP' and the "Others" defined in 'Web Security >> HTTP Profiles'.

    Another thought has to do with the backend groups.  Try just applying the filter assignments to named individuals - if that works, then you know that you have the profiles set up correctly and that your issue relates to AD/SSO.

    Let us know - Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    Let me start with your last suggestion.

    Our ASG and (my) ASL for testing are working in bridged mode with transparent web proxy. They aren't integrated to our AD. Switching to user authentication with AD and SSO is not possible at the moment and the near future.

    Your're right with the statement about the profiles (or I'm wrong with the German meaning).

    Yesterday I tried my configured profiles again, and the only one thing web proxy logged was the using the object for blocked file extensions. Surfing to diefferent websites wasn't restricted.

    Now I defined two new filter actions, assignments and profiles. The first filter action is configured as IP_1 with
    - blocked file extension,
    - blocked sites,
    - dual AV for files up to 50 MB and
    - blocked spyware
    - blocked uncategorized sites
    - blocked categories, incl. suspicious and uncategorized.

    The second is configured as IP_2 with
    - dual AV for files up to 50 MB,
    - blocked spyware and
    - blocked categories without suspicious and uncateogrized.

    IP_1 is assigned to filter assignment IP_1 and the other one to IP_2. Fallback goes to the default settings from "Web Security >> HTTP". Every thing is in transparent mode.

    For these assignments I set two profiles. At top IP_2 and on position 2 IP_1.

    Both profiles were tested with clients using IP_1 or IP_2 and the profiles working fine.

    That's what I known before. But I thought it could be easier to set separated actions and assignments and use it in profiles if needed. Maybe it will be possible in newer versions.

    So long, Steffen
  • I just consulted your conversation with Gregor on the German forum, and I believe you can accomplish what you want.

    Your problem isn't having multiple filter actions in a profile.  I think it's that you need a way to identify the "Others" group.  If you are in "Transparent" mode for that profile, then that profile is always skipped because no one is identified as being in the "Others" group as far as the Astaro knows.

    Since you don't have AD/SSO or eDirectory, you have two choices:

    - See to it that everyone in the Others group is in a separate network (subnet, range of IPs, etc.) just as you have with the Sales group.

    or 


    - Create the Profile in 'Basic User Authentication' mode, configure the clients' browsers for the HTTP Proxy and require them to login/authenticate against the Astaro.



    As to whether this is the correct thing to do in your situation, I would need to know numbers of people, the groups you want to divide them into for purposes of web access, locations and the setup of your default HTTP including 'Advanced' and 'Exceptions'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    I've installed 7.380 BETA yesterday on my ASL and I will try to set one or two profiles with multiple filter assignments/actions again.

    At home my internet connection is broken at the moment for few days. But I will install 7.380 at home too and try and play with it.

    Here on our ASG I'll need to create one profile for sales and head with specified IP addresses and for the others I will use the default configuration as fallback.

    So long, Steffen
  • Hi there,

    v7.402 is out and I installed it here on my play-around computer for testing.

    The software ASG is behind our router and works as default gateway and dns for my client. But it's only one, so I used different IPs on it.

    I created for every possibility a filter action. One for AV, one for blocking, one for extensions and so on.

    For every action there is a Filter Assignment. These assignments were used in two Proxy Profiles. The first uses all defined assignments for the one ip, the other profile uses only the assignment for AV.

    The proxy chooses the right profile for the incoming IP. But walking through the filter assignments in the profile doesn't work. I ordered the assignments in the profile:

    1. Blocked Extensions >> iso, zip, wma, wmv, wmf, exe, bat, com, pif...
    2. Allowed URLs >> empty
    3. Blocked URLs >> astaro.de
    4. Blocked Cats >> some
    5. AV-Scanning

    I thought checking the web request works like working through the PFRs from top to bottom... The logfile shows the right referenz for the profile but only the referenz to Blocked Extensions if I want to go to Astaro - Astaro

    Maybe I have an problem with understanding about working of assignments in profiles or I want to much from the proxy.

    Is there someone using separated filter assignments (assigned to one filter action) in a profile?

    So long, Steffen
  • Steffen, please [Go Advanced] and attach pictures of edits of your filter assignments and your profile.  Also, show the lines from the HTTP Access Log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Folks,

    sorry, but I couldnt' answer earlier. I will attach some screenshots showin my profiles settings and some lines from the log.

    The proxy chooses the right profile (IP1) - Nice thing to show the profile's name in log - and uses the assignment for extension blocking but nothing is blocked. I can download the iso image from astaro. But astaro shouldn't be reached, because astaro.de is included as blocked URL...

    So long, Steffen
Reply
  • Hi Folks,

    sorry, but I couldnt' answer earlier. I will attach some screenshots showin my profiles settings and some lines from the log.

    The proxy chooses the right profile (IP1) - Nice thing to show the profile's name in log - and uses the assignment for extension blocking but nothing is blocked. I can download the iso image from astaro. But astaro shouldn't be reached, because astaro.de is included as blocked URL...

    So long, Steffen
Children
  • Steffen, I think I see what you need to change.

    Profiles are processed sequentially, so the profile for 10.0.0.64/26 needs to be above the profile for 10.0.0.0/24.  For each HTTP message, the HTTP Proxy stops processing additional profiles once the message qualifies for one.

    Inside the profile, the same is true for the filter assignments.  In your example 'hst_NBLenovo" will always qualify for the first filter assignment, 'blocked_extensions', and none of the subsequent filter assignments will be considered.  You need to have all of the desired actions in a single filter action.

    Does that solve the problem?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,
    ...You need to have all of the desired actions in a single filter action.


    We're using one profile with one assignment and settings in one action here at work. But I thought with new version the functionality changed a bit. Like I thought at the begining of the thread - defining separate assignments/actions for separate jobs and not for users/networks only.

    Maybe it comes with an higher version. I'll hope for it.

    So long, Steffen
  • Steffen, I think the way it works now is how it will work for the foreseeable future.  They've said that they will add a global blacklist, but they haven't talked about any other structural changes.

    I see where you're going with your idea, and I like it.  It would be nice to have the different sections selectable in the Filter Assignment, instead of just an entire Filter Action.

    Instead of creating complete Filter Actions, it would be great to have Filter "Atoms" that are combined in a Filter Assignment.  Just as a first thought, those could be 'Category Filter', 'Block these URLs/sites', 'Always allow these URLs/sites', 'Blocked file extensions', 'Blocked MIME types', 'Content removal' and 'Anti-Virus scanning'.

    I'll submit that as a feature request, mentioning you and this thread.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,
    ...it would be great to have Filter "Atoms" that are combined in a Filter Assignment.  Just as a first thought, those could be 'Category Filter', 'Block these URLs/sites', 'Always allow these URLs/sites', 'Blocked file extensions', 'Blocked MIME types', 'Content removal' and 'Anti-Virus scanning'.

    I'll submit that as a feature request, mentioning you and this thread.

    Thanks for your reply. And thanks for sending a feature request too. Let's see what the future brings.

    Nice weekend, Steffen