Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 23353 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bypass network security packet filters using web proxy

esev
I've noticed that the web proxy can be used to bypass network security packet filters.  Consider a gateway with three interfaces, one for the WAN, one for the LAN, and one for GUESTS.  If GUESTS are normally not permitted to access web servers on the LAN, but are permitted to access the web proxy (to limit web access), than the GUESTS can make requests through the web proxy to access the LAN.

As a simple measure to prevent this, I've tried using URL Filtering to block hosts on the LAN by URL.  But this won't cut it as anyone can register a domain name that does not match my URL filters and resolves to a host on my LAN.  I've also tried to add network security packet filter rules that block the Astaro LAN IP from accessing any hosts on the LAN - but it seems that the web proxy is exempt from these rules.

What I'd really like is a way to limit the web proxy by destination IP address or IP range.  I know how to do this with Squid (acl to_localnet dst ; http_access deny to_localnet), but is there a way to do this with Astaro?


This thread was automatically locked due to age.
Parents
  • 0
    Great, thanks for your feedback, Billybob and barkas.

    Billybob, I thought the transparent mode skip list applied to both sources and destinations; can you confirm that you don't have proxy access out of your DMZ even though it's in 'Allowed networks'?  Also, I think DNATs come before proxies, so can you check that leaving 'Destination' blank (instead of "LAN (Address)") in your DNAT still results in the proxy capturing that traffic?

    Thanks - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes allowing and bypassing don't effect each other. You can allow a network and bypass it just as you can allow a network and bypass just one client out of that network.
    Also, I think DNATs come before proxies, so can you check that leaving 'Destination' blank (instead of "LAN (Address)") in your DNAT still results in the proxy capturing that traffic?

    Dnat does come before proxies. The built in proxy rule catches all traffic on port 80 (DNAT any with destination port 80 to 8080). What I am doing is stopping the manual use of port 8080 so I am dnatting port 8080 to never never land. This will break standard proxy but transparent won't be affected at all. That was the problem with the original poster, people abusing his transparent proxy as standard proxy. 

    Regards

    Edit: In original poster's case, server is in LAN, he has DMZ as guest. So he will dnat his dmz port 8080 and just put the webserver in LAN in bypass proxy. This way his LAN is still being proxied, just the server is not and the DMZ can't use standard proxy if they tried to.
Reply
  • 0 in reply to BAlfson
    Yes allowing and bypassing don't effect each other. You can allow a network and bypass it just as you can allow a network and bypass just one client out of that network.
    Also, I think DNATs come before proxies, so can you check that leaving 'Destination' blank (instead of "LAN (Address)") in your DNAT still results in the proxy capturing that traffic?

    Dnat does come before proxies. The built in proxy rule catches all traffic on port 80 (DNAT any with destination port 80 to 8080). What I am doing is stopping the manual use of port 8080 so I am dnatting port 8080 to never never land. This will break standard proxy but transparent won't be affected at all. That was the problem with the original poster, people abusing his transparent proxy as standard proxy. 

    Regards

    Edit: In original poster's case, server is in LAN, he has DMZ as guest. So he will dnat his dmz port 8080 and just put the webserver in LAN in bypass proxy. This way his LAN is still being proxied, just the server is not and the DMZ can't use standard proxy if they tried to.
Children
No Data
Unfiltered HTML