Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 23336 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bypass network security packet filters using web proxy

esev
I've noticed that the web proxy can be used to bypass network security packet filters.  Consider a gateway with three interfaces, one for the WAN, one for the LAN, and one for GUESTS.  If GUESTS are normally not permitted to access web servers on the LAN, but are permitted to access the web proxy (to limit web access), than the GUESTS can make requests through the web proxy to access the LAN.

As a simple measure to prevent this, I've tried using URL Filtering to block hosts on the LAN by URL.  But this won't cut it as anyone can register a domain name that does not match my URL filters and resolves to a host on my LAN.  I've also tried to add network security packet filter rules that block the Astaro LAN IP from accessing any hosts on the LAN - but it seems that the web proxy is exempt from these rules.

What I'd really like is a way to limit the web proxy by destination IP address or IP range.  I know how to do this with Squid (acl to_localnet dst ; http_access deny to_localnet), but is there a way to do this with Astaro?


This thread was automatically locked due to age.
Parents
  • 0
    Bob, your packet filter rule while limiting the GUESTS to external DNS does not stop them resolving any external advertised servers on the local LAN and being able to come into the ASG from the external interface.


    I'm not sure what happens when the Astaro HTTP Proxy tries to reach an internal server when the FQDN in the URL resolves to 'External (Address)'.  I'm thinking it can't see it.
    It'll work. To test, I registered the example above. myinternalnetwork.dyndns.org now really does resolve to 10.11.12.100 

    But, I think with the Profile in transparent mode and LAN in the skiplist, even that won't work.

    The Proxy isn't "exempt" from the PF rules - it just captures the traffic with its own PF rules.  I think DNAT comes before the proxy, so you might be able to capture that port 8080 traffic from GUESTS and translate it into port 80, thus foiling those unscrupulous guests you seem to be attracting! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Bob, your packet filter rule while limiting the GUESTS to external DNS does not stop them resolving any external advertised servers on the local LAN and being able to come into the ASG from the external interface.


    I'm not sure what happens when the Astaro HTTP Proxy tries to reach an internal server when the FQDN in the URL resolves to 'External (Address)'.  I'm thinking it can't see it.
    It'll work. To test, I registered the example above. myinternalnetwork.dyndns.org now really does resolve to 10.11.12.100 

    But, I think with the Profile in transparent mode and LAN in the skiplist, even that won't work.

    The Proxy isn't "exempt" from the PF rules - it just captures the traffic with its own PF rules.  I think DNAT comes before the proxy, so you might be able to capture that port 8080 traffic from GUESTS and translate it into port 80, thus foiling those unscrupulous guests you seem to be attracting! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson

    The Proxy isn't "exempt" from the PF rules - it just captures the traffic with its own PF rules.  I think DNAT comes before the proxy, so you might be able to capture that port 8080 traffic from GUESTS and translate it into port 80, thus foiling those unscrupulous guests you seem to be attracting! [[;)]]


    Bob,

    DNAT - you're not "supposed" to use DNAT for that. [[;)]]  That is a very clever idea.  It should close the only remaining hole.  Thanks for the tip!
Unfiltered HTML