Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 23356 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bypass network security packet filters using web proxy

esev
I've noticed that the web proxy can be used to bypass network security packet filters.  Consider a gateway with three interfaces, one for the WAN, one for the LAN, and one for GUESTS.  If GUESTS are normally not permitted to access web servers on the LAN, but are permitted to access the web proxy (to limit web access), than the GUESTS can make requests through the web proxy to access the LAN.

As a simple measure to prevent this, I've tried using URL Filtering to block hosts on the LAN by URL.  But this won't cut it as anyone can register a domain name that does not match my URL filters and resolves to a host on my LAN.  I've also tried to add network security packet filter rules that block the Astaro LAN IP from accessing any hosts on the LAN - but it seems that the web proxy is exempt from these rules.

What I'd really like is a way to limit the web proxy by destination IP address or IP range.  I know how to do this with Squid (acl to_localnet dst ; http_access deny to_localnet), but is there a way to do this with Astaro?


This thread was automatically locked due to age.
Parents
  • 0
    That is probably correct behaviour because of virtual servers by name.
    So there really should be a hard block by ip option.
    Or an external interface definition for the proxy (like the internal net you can also define).
  • 0 in reply to barkas

    So there really should be a hard block by ip option.
    Or an external interface definition for the proxy (like the internal net you can also define).


    Yes that would be helpful. Also you would think that putting deny all traffic to server network and using bypass proxy for server address in http-advanced would fix this but it doesn't so there is definitely room for improvement.
    Best Regards.
    Bill.

    Edit: Ok the bypass traffic is for transparent proxy only and it does bypass unless the user changes the browser to use manual proxy which again is highly unlikely in guest situations. But an exceptions category that bypasses http proxy altogether would fix this also.
Reply
  • 0 in reply to barkas

    So there really should be a hard block by ip option.
    Or an external interface definition for the proxy (like the internal net you can also define).


    Yes that would be helpful. Also you would think that putting deny all traffic to server network and using bypass proxy for server address in http-advanced would fix this but it doesn't so there is definitely room for improvement.
    Best Regards.
    Bill.

    Edit: Ok the bypass traffic is for transparent proxy only and it does bypass unless the user changes the browser to use manual proxy which again is highly unlikely in guest situations. But an exceptions category that bypasses http proxy altogether would fix this also.
Children
No Data
Unfiltered HTML