Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 13973 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

“Configure HTTP Proxy for a Network of Guests” with Internal in Transparent mode

ThorstenS
I just went through BAlfson's Howto “Configure HTTP Proxy for a Network of Guests” - but I stuck on 7. DNAT Rule - as my Brain right now doesn't get, what this rule is doing/why using this rule...
 
I usually use Transparent Mode for the internal Networks and have usually a seperate Network for camera surveilance - that is in the transparent mode skiplist.
I want to keep the Guest-Networks in transparent mode also, as I don't want to modify Guest-Clients in any way.
 
Is there a way to get it done, or do I really have to use Non-Transparent in any way?
Will there be an improvment with the OS copernicus?

Regards
Thorsten


This thread was automatically locked due to age.
Parents
  • 0
    These are great questions, Thorsten.  That document is a How-To with little explanation about how it evolved over the last six+ years.

    VII is meant to be certain that guests don't attempt to use a Standard mode.  It shouldn't be necessary as the Guest network should not be in any other Web Filtering Profile.  It was included as the result of a suggestion, but it was already in the oldest version I've kept which is six years old.

    The document explains why there's a recommendation to use Standard for non-Guest networks.  The DynDNS exploit suggested may not seem likely enough in your estimation.

    In both cases, the choice was made to come up with something tamper-proof.

    An alternative is to not run the Guest traffic through the Proxy.  In that case, I would add a separate public IP for accesses from the guest network, using a NAT rule.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    These are great questions, Thorsten.  That document is a How-To with little explanation about how it evolved over the last six+ years.

    VII is meant to be certain that guests don't attempt to use a Standard mode.  It shouldn't be necessary as the Guest network should not be in any other Web Filtering Profile.  It was included as the result of a suggestion, but it was already in the oldest version I've kept which is six years old.

    The document explains why there's a recommendation to use Standard for non-Guest networks.  The DynDNS exploit suggested may not seem likely enough in your estimation.

    In both cases, the choice was made to come up with something tamper-proof.

    An alternative is to not run the Guest traffic through the Proxy.  In that case, I would add a separate public IP for accesses from the guest network, using a NAT rule.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML