This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bypass network security packet filters using web proxy

I've noticed that the web proxy can be used to bypass network security packet filters.  Consider a gateway with three interfaces, one for the WAN, one for the LAN, and one for GUESTS.  If GUESTS are normally not permitted to access web servers on the LAN, but are permitted to access the web proxy (to limit web access), than the GUESTS can make requests through the web proxy to access the LAN.

As a simple measure to prevent this, I've tried using URL Filtering to block hosts on the LAN by URL.  But this won't cut it as anyone can register a domain name that does not match my URL filters and resolves to a host on my LAN.  I've also tried to add network security packet filter rules that block the Astaro LAN IP from accessing any hosts on the LAN - but it seems that the web proxy is exempt from these rules.

What I'd really like is a way to limit the web proxy by destination IP address or IP range.  I know how to do this with Squid (acl to_localnet dst ; http_access deny to_localnet), but is there a way to do this with Astaro?


This thread was automatically locked due to age.
Parents
  • Edit: Ok the bypass traffic is for transparent proxy only and it does bypass unless the user changes the browser to use manual proxy which again is highly unlikely in guest situations.

    Billybob, it's been awhile since I played with this.  Are you confirming that if
    • the proxy is in a non-transparent mode for "Internal (Network)" and
    • in a transparent mode for the guest network
    • "Internal (Network)" is in the 'Transparent mode skiplist'
    • 'Allow HTTP traffic for listed hosts/nets' is not checked
    • there is a NAT rule 'Guest (Network) -> HTTP Proxy -> Any : DNAT to HTTP'

    even using the DynDNS trick to resolve an internal IP won't work to allow the guest access?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • wow that sounds like a multiple choice quiz question[;)]

    The main proxy settings like bypass transparent hosts take precedence over proxy profile settings.

    What I tested was to put the webserver in transparent skip list under http proxy-->advanced with allow HTTP traffic for listed hosts not checked. Then there is a packet filter rule needed to access the server in a different network. I couldn't access it with IP/DNS name. If you manually put the proxy information in the browser although the proxy is running in transparent mode, then the transparentskip list is not applicable and the server is accessible again with or without any packet filter rules.

    Transparent skiplist is nothing more than some fancy netfilter rules by astaro, it doesn't change anything in the proxy. 

    My last comment about exceptions category was a feature request. We need an exceptions category that bypasses certain hosts/nets to bypass proxy no matter which mode the proxy is running in. Hope that made sense.

    Best Regards
    Bill.
Reply
  • wow that sounds like a multiple choice quiz question[;)]

    The main proxy settings like bypass transparent hosts take precedence over proxy profile settings.

    What I tested was to put the webserver in transparent skip list under http proxy-->advanced with allow HTTP traffic for listed hosts not checked. Then there is a packet filter rule needed to access the server in a different network. I couldn't access it with IP/DNS name. If you manually put the proxy information in the browser although the proxy is running in transparent mode, then the transparentskip list is not applicable and the server is accessible again with or without any packet filter rules.

    Transparent skiplist is nothing more than some fancy netfilter rules by astaro, it doesn't change anything in the proxy. 

    My last comment about exceptions category was a feature request. We need an exceptions category that bypasses certain hosts/nets to bypass proxy no matter which mode the proxy is running in. Hope that made sense.

    Best Regards
    Bill.
Children
No Data