Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 6765 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Filtering Issue

RichardHughes
Hi [:)]

I have spent the past week trying to resolve an issue which is occurring when I have HTTPS scanning enabled on my web filter profile.

The issue in which I am currently trying to resolve is with iOS devices, which are unable to send/receive iMessage's, when HTTPS scanning is enabled on my web filter profile. I have had a look at the live web filtering log, while trying to send an iMessage. I noticed that "courier.push.apple.com/.../receive.

Here is the log entry - 

2015:01:15-01:29:53 sophos httpproxy[5766]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="10.0.0.67" dstip="" user="" ad_domain="" statuscode="502" cached="0" profile="REF_HttProContaInterNetwo (Hughes Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xe1c72000" url="courier.push.apple.com/" referer="" error="Host not found" authtime="0" dnstime="192570" cattime="0" avscantime="0" fullreqtime="595983" device="4" auth="2" ua="" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension,size"


And here is the exception which I had created - 

Skipping: Authentication / Caching / Block by download size / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check



Matching these URLs: ^https?://courier\.push\.apple\.com


Any help or advice would be greatly appreciated, as this issue is really starting to make me want to pull my hair out [:(]


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Stanley, and welcome to the User BB!

    What a great way to start your participation here - instead of a question, you offer a solution that others can use to quickly and correctly solve a problem - GREAT!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bringing this thread back from the dead as well.

    I don't disallow any traffic sourcing from my internal network externally so I didn't have a need for a specific exemption for 5223/TCP outbound.  It's all allowed.  My son's friend came over with his iPod last night and wasn't able to establish any connections for Messages or push notifications to Apple.  Throwing his iPod into the "Skip Transparent Proxy" settings immediately resolved his issues.  But what I noticed was that even though he was here for several hours, I didn't see any connectivity to 5223/TCP until after he was able to bypass the web filtering.

    I'm going to try the DNS Host exception for 'push.courier.apple.com' to try and pull him back out of the transparent exception group.  

    Ironically, I have no issues with my iDevices with no blocking web filter policies on my IPs.

    The quest continues. . .
Reply
  • 0 in reply to BAlfson
    Bringing this thread back from the dead as well.

    I don't disallow any traffic sourcing from my internal network externally so I didn't have a need for a specific exemption for 5223/TCP outbound.  It's all allowed.  My son's friend came over with his iPod last night and wasn't able to establish any connections for Messages or push notifications to Apple.  Throwing his iPod into the "Skip Transparent Proxy" settings immediately resolved his issues.  But what I noticed was that even though he was here for several hours, I didn't see any connectivity to 5223/TCP until after he was able to bypass the web filtering.

    I'm going to try the DNS Host exception for 'push.courier.apple.com' to try and pull him back out of the transparent exception group.  

    Ironically, I have no issues with my iDevices with no blocking web filter policies on my IPs.

    The quest continues. . .
Children
No Data
Unfiltered HTML