This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bypass network security packet filters using web proxy

I've noticed that the web proxy can be used to bypass network security packet filters.  Consider a gateway with three interfaces, one for the WAN, one for the LAN, and one for GUESTS.  If GUESTS are normally not permitted to access web servers on the LAN, but are permitted to access the web proxy (to limit web access), than the GUESTS can make requests through the web proxy to access the LAN.

As a simple measure to prevent this, I've tried using URL Filtering to block hosts on the LAN by URL.  But this won't cut it as anyone can register a domain name that does not match my URL filters and resolves to a host on my LAN.  I've also tried to add network security packet filter rules that block the Astaro LAN IP from accessing any hosts on the LAN - but it seems that the web proxy is exempt from these rules.

What I'd really like is a way to limit the web proxy by destination IP address or IP range.  I know how to do this with Squid (acl to_localnet dst ; http_access deny to_localnet), but is there a way to do this with Astaro?


This thread was automatically locked due to age.
Parents
  • [LIST=1]
    • If GUESTS are not allowed to access the internal network, then your Astaro DNS Proxy and packet filter rules should be configured in such a way that GUESTS cannot resolve names in LAN.

    • For those inside LAN, if running in transparent mode, accesses inside LAN won't transit the Astaro.  If running in a mode that requires pointing browsers at the proxy, be sure to select the browser option to bypass the proxy for local accesses.

    • In 'Web Security >> HTTP/S', on the 'URL Filtering' tab, block internal addresses.  For example, if LAN is 10.11.12.0/24, put //10.11.12.
    [/LIST]
    Does that do what you want?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • [LIST=1]
    • If GUESTS are not allowed to access the internal network, then your Astaro DNS Proxy and packet filter rules should be configured in such a way that GUESTS cannot resolve names in LAN.

    • For those inside LAN, if running in transparent mode, accesses inside LAN won't transit the Astaro.  If running in a mode that requires pointing browsers at the proxy, be sure to select the browser option to bypass the proxy for local accesses.

    • In 'Web Security >> HTTP/S', on the 'URL Filtering' tab, block internal addresses.  For example, if LAN is 10.11.12.0/24, put //10.11.12.
    [/LIST]
    Does that do what you want?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hi Bob,
    let me see if I have understood you correctly.
    1/. the guests would only pickup an external DNS from the ASG DHCP server?
    I am not sure how you would use a packet filter rule to enforce this?

    2 and 3 I understand.

    Regards

    Ian M[[:)]][[:)]]

    XG115W - v20.0.2 MR-2 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.