This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PAC file syntax to exclude WebAdmin

Hello all,

1.  Current UTM version:  9.309-3
2.  Among other Web Filter profiles, I have a "Standard - ADSSO" profile that I am testing with a few specific internal hosts.
3.  I have already successfully configured WPAD/DNS to work, but currently I have it "disabled" (by DNS global block) and have test host's browser manually configured with "use automatic configuration script".



When my PAC reads:
function FindProxyForURL(url, host)
{
if (isInNet(dnsResolve(host), "ext subnet IP", "255.255.255.240"))
return "DIRECT";
return "PROXY utmname.domain.local:8080; DIRECT";
}
internet browsing behaves as expected and Web Filtering log correctly displays logged in AD User and Domain.  But I am not able to access WebAdmin from same host, regardless of name/IP.

If I change my PAC file to:
function FindProxyForURL(url, host)
{
if (isInNet(dnsResolve(host), "ext subnet IP", "255.255.255.240") ||
if (localHostOrDomainIs(host, "utmfqdn"))
return "DIRECT";
return "PROXY rimanc.rim-cloud.local:8080; DIRECT";
}
I can access UTM, but internet browsing does not behave as expected and logs show null username and null domain and also indicates that the Web Filter profile was skipped and instead using the default Web Filter.

I have also tried:
if (isInNet(dnsResolve(host), "int IP of utm:4444", "255.255.255.0"))
if (isInNet(dnsResolve(host), "int IP of utm", "255.255.255.0"))
changed both of the above's last netmask octet to 255
and tried both internal and external names.

I obviously do not speak "Java".

Am I barking up the wrong tree, or do I have my PAC syntax all wrong?  What I am trying to achieve is to be able to access the WebAdmin GUI when Standard-ADSSO is being applied to all other "non-excluded" sites.

WebAdmin port is still 4444, and HTTP Proxy is included in the "Allowed target services".

Truly thankful,

Tony


This thread was automatically locked due to age.
Parents
  • Thank you vilic.
    I was able to use your examples and finally figured out where I went wrong in the syntax.  I did try "if (shExpMatch(url" but was missing a character.

    Also, thank you BAlfson,
    As usual, you are very helpful.  The 4444 "webadmin" is in "allowed target services" and the web filter mainly pointed out when the expected profile was being skipped.  I did read FindProxyForURL, but for some reason the lightbulb in my head was very dim when it came to applying the correct code with the correct syntax.  I speak "old school cmd/batch files" but not "java".  Yet some of it makes sense.

    the "external IP" is needed because we have some hosted servers that need AD credentials passed to them and it seems that proxy strips ntlm header.

    I have modified your code to match our environment and it seems all is working "peachy" (I can still access UTM and the standard ADSSO is working properly per web filter logs).  But my boss has a concern, and I am not experienced enough with web filters in general and Sophos, to give him an intelligent response.  It seems that Advanced Threat Protection is tied with IPS and Web Filter.  If we exclude all of our internal domain and/or local IP subnets, will this put us at more of a security risk with items such as cryptowall etc.?  Context here, is that we got hit with one of the variants about a year ago, and we replicate data between our 6 offices.  This was before Sophos installs, and we did/do have a reputable AV system.  But it unfortunately caught it after it started propagating throughout and also replicating.  On a side note, we did not pay ransom, and was able to restore from replication system's versioning.
Reply
  • Thank you vilic.
    I was able to use your examples and finally figured out where I went wrong in the syntax.  I did try "if (shExpMatch(url" but was missing a character.

    Also, thank you BAlfson,
    As usual, you are very helpful.  The 4444 "webadmin" is in "allowed target services" and the web filter mainly pointed out when the expected profile was being skipped.  I did read FindProxyForURL, but for some reason the lightbulb in my head was very dim when it came to applying the correct code with the correct syntax.  I speak "old school cmd/batch files" but not "java".  Yet some of it makes sense.

    the "external IP" is needed because we have some hosted servers that need AD credentials passed to them and it seems that proxy strips ntlm header.

    I have modified your code to match our environment and it seems all is working "peachy" (I can still access UTM and the standard ADSSO is working properly per web filter logs).  But my boss has a concern, and I am not experienced enough with web filters in general and Sophos, to give him an intelligent response.  It seems that Advanced Threat Protection is tied with IPS and Web Filter.  If we exclude all of our internal domain and/or local IP subnets, will this put us at more of a security risk with items such as cryptowall etc.?  Context here, is that we got hit with one of the variants about a year ago, and we replicate data between our 6 offices.  This was before Sophos installs, and we did/do have a reputable AV system.  But it unfortunately caught it after it started propagating throughout and also replicating.  On a side note, we did not pay ransom, and was able to restore from replication system's versioning.
Children