Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 6765 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Filtering Issue

RichardHughes
Hi [:)]

I have spent the past week trying to resolve an issue which is occurring when I have HTTPS scanning enabled on my web filter profile.

The issue in which I am currently trying to resolve is with iOS devices, which are unable to send/receive iMessage's, when HTTPS scanning is enabled on my web filter profile. I have had a look at the live web filtering log, while trying to send an iMessage. I noticed that "courier.push.apple.com/.../receive.

Here is the log entry - 

2015:01:15-01:29:53 sophos httpproxy[5766]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="10.0.0.67" dstip="" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProContaInterNetwo (Hughes Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xe1c72000" url="courier.push.apple.com/" referer="" error="Host not found" authtime="0" dnstime="192570" cattime="0" avscantime="0" fullreqtime="595983" device="4" auth="2" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"


And here is the exception which I had created - 

Skipping: Authentication / Caching / Block by download size / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check



Matching these URLs: ^https?://courier\.push\.apple\.com


Any help or advice would be greatly appreciated, as this issue is really starting to make me want to pull my hair out [:(]


This thread was automatically locked due to age.
  • 0
    Hi Richard, and welcome to the User BB!

    You have tried the best possible exception, so the easiest thing is to skip the proxy for that FQDN. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    You are not getting blocked.  The proxy has an unfortunate habit of calling things 
    "blocks" when they are not.

    2015:01:15-01:29:53 sophos httpproxy[5766]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="10.0.0.67" dstip="" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProContaInterNetwo (Hughes Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xe1c72000" url="courier.push.apple.com/" referer="" error="Host not found" authtime="0" dnstime="192570" cattime="0" avscantime="0" fullreqtime="595983" device="4" auth="2" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"

    That is not a valid hostname.  DNS lookup for it fails on my box as well.

    I suspect that this is not the real problem.  At a guess I think it would be more likely to be a firewall rule issue.  Look at the logs there.

    A quick test would be to create a temporary firewall rule that is Any/Any and see if the app starts working.  If it does then you know that is the problem.  Use the logs to determine the actual ports needed.
  • 0 in reply to Michael Dunn
    You are not getting blocked.  The proxy has an unfortunate habit of calling things 
    "blocks" when they are not.

    2015:01:15-01:29:53 sophos httpproxy[5766]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="10.0.0.67" dstip="" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProContaInterNetwo (Hughes Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xe1c72000" url="https://courier.push.apple.com/" referer="" error="Host not found" authtime="0" dnstime="192570" cattime="0" avscantime="0" fullreqtime="595983" device="4" auth="2" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"

    That is not a valid hostname.  DNS lookup for it fails on my box as well.

    I suspect that this is not the real problem.  At a guess I think it would be more likely to be a firewall rule issue.  Look at the logs there.

    A quick test would be to create a temporary firewall rule that is Any/Any and see if the app starts working.  If it does then you know that is the problem.  Use the logs to determine the actual ports needed.


    Hi,

    Thank you very much for your help. After creating a rule to allow Any > Any, iMessage began to work. I've worked out the rules to create to allow iMessage though and I have disabled the Any > Any rule.

    Thanks again!
    Richard
  • 0
    Feel free to post the rules that worked, so that it can help others in future.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    I hate to ressurect an old thread, but I am a new Sophos UTM Home Edition user after moving over from pfSense. Anyway I found this thread after much searching and trying to find a solution to getting iMessage working on our iPads. I was digging through the Web Filtering section thinking it a problem there, but then found this thread stating that it is a firewall issue. I saw that Richard found a final solution but did not post it. So I followed along the same path of creating a Any > Any rule, then fine tuned it. Here is what I came up with:

    I found that iMessage uses port 5223 so the first thing is to create a Service Definition:

    Name: Apple iMessage
    Type: TCP
    Destination port: 5223
    Source port: 1:65535 (this could refined let me know, but since all of the other services were using this I decided to use it as well)

    Next is to create the Firewall Rule:

    Sources: Internal (Network)
    Services: Apple iMessage
    Destination: Any
    Action: Allow
    Comment: Apple iMessage Rule

    After creating this then iMessage started working on our iPads. The wife was very happy [:)]

    Again if there is a better way of setting this up, please let me know.

    Thank you,
    Stanley
  • 0
    Hi, Stanley, and welcome to the User BB!

    What a great way to start your participation here - instead of a question, you offer a solution that others can use to quickly and correctly solve a problem - GREAT!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bringing this thread back from the dead as well.

    I don't disallow any traffic sourcing from my internal network externally so I didn't have a need for a specific exemption for 5223/TCP outbound.  It's all allowed.  My son's friend came over with his iPod last night and wasn't able to establish any connections for Messages or push notifications to Apple.  Throwing his iPod into the "Skip Transparent Proxy" settings immediately resolved his issues.  But what I noticed was that even though he was here for several hours, I didn't see any connectivity to 5223/TCP until after he was able to bypass the web filtering.

    I'm going to try the DNS Host exception for 'push.courier.apple.com' to try and pull him back out of the transparent exception group.  

    Ironically, I have no issues with my iDevices with no blocking web filter policies on my IPs.

    The quest continues. . .
Unfiltered HTML