Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 11499 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A question about data flow.

Coder68
When I turn off the proxy, and go out to the net, I see the firewall rule for web surfing get listed as being hit, when looking at the live firewall log. 

When I turn on the proxy, and repeat the experiment, I do not see the firewall rule being used. 

I turned off the rule to allow web browsing, and left the proxy on. I could still browse the net. 

I am also wondering where the logic for app control comes in. Below is my expectation of how this flows.

Is this flow diagram correct?

{See modified image at the end of the thread}

If not, can you please help me to make it correct?

Thanks,
C68


This thread was automatically locked due to age.
  • 0
    That's how I imagine it after you add Connection Tracking to the right column, too.

    Cheers - Bob
    PS I just noticed that you linked to an image on an external server.  Please [Edit] the post above, click on [Go Advanced] and attach your images to the post. We can't know if that external site is properly protected. The only malware I've gotten in over 10 years was from a link to a picture in this forum several years ago.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I did not think about attaching the image. Just so you know, that is my website and it is pure HTML and scanned for security issues on a regular basis.

    Attached is my final draft. 

    I also attached my flow for proxied/not proxied. Please let me know if it is correct. I did it from memory... I had one I did before, but the post comes up blank and I can't find my original image. 

    Thank you,

    C68
  • 0
    Did a little test with App Control using Allegro.pl.  For column 3, if not using the proxy, App Control does not come into play and will not block traffic.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Scott, What about traffic other than HTTP/S?

    Thanks for the attachments, C68.  I usually just delete the images first, but you're an old timer here like me. [;)]

    Your Proxy in Use scenario only applies to the Proxy in Transparent mode as the settings in Internet Options make this decision for the Standard mode.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Scott,

    What is this pearl script you are talking about? 

    I have updated the image in column one and three. (See attachment) 

    As for other traffic, I am guessing it does  not matter as application control is part of the proxy. Is this correct? 

    Thank you. 

    BAlfson,

    When in standard mode, how is it different? Here is what I thought the differences were:

    Standard:  Everything went to port 8080 and a browser setting must be made. 

    Transparent: Intercepts automatically and the client is unaware. All web request appear to come from the proxy. 

    Full transparent: Request are the same as Transparent, but the real IP of the requester is shown, not the proxy. 

    I am not sure what you mean by you delete the images first... and yes, I am a bit of an old timer! [8-)]

    Thank you,

    Everyone:

    What about my other image? The "Do I go through the Proxy or firewall?".

    Thanks again for all your help!
  • 0
    What is this pearl script you are talking about? 
    It's not a pearl script.  It's just a site/service in Poland that the UTM has an Application Blocking definition for.  Many of the App Control definitions are for services that are http or https based.  I tried a Telnet test, but it wouldn't block at all, so I need to find something else to test with.

    As for other traffic, I am guessing it does not matter as application control is part of the proxy. Is this correct? 
    Correct.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    In Transparent mode, the Client does DNS and the Proxy's 'Transparent mode skiplist' applies.

    In Standard mode, the Proxy does DNS and the client's 'Exceptions' in 'Proxy Settings' determine which site/IP-requests skip the Proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I guess I do not understand. In transparent mode the client does a DNS call to the UTM. How is that different then in standard mode?

    Thank you,

    c68
  • 0
    In Transparent, the client sends the browsing request to the IP of the FQDN in the URL, and the Proxy captures the request because it's using port 80. 

    In Standard mode, the client sends the request to the IP of "Internal (Address)" on port 8080, and the Proxy requests name resolution for the FQDN.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    So it is "captured" either way.

    Thanks.

    C68
Unfiltered HTML