Welcome to the Sophos User Bulletin Board.
If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.

Reply
 
LinkBack Thread Tools Display Modes
Member
Join Date: Feb 2011
Location: Hamburg, Germany
Posts: 34
#11 (permalink)  
Old 03-01-2011, 05:00 PM
Default

Bei mir kann ich übrigens selbst bei ausgeschalteten HTTP Proxy immer noch auf HTTP Seiten aus den anderen Netzen zugreifen.
Reply With Quote
Member
Join Date: Feb 2011
Location: Hamburg, Germany
Posts: 34
#12 (permalink)  
Old 03-01-2011, 05:07 PM
Default

OK. Unter der 8.160 Beta kann man auch die Internen Netze in dieDestinations Skip Liste nehmen. Dann greifen auch Firewall DENY Regeln.

Wenn man alle internen Netze in die Source Skip nehmen würde kann man den Proxy auch gleich ausschalten.
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#13 (permalink)  
Old 03-01-2011, 06:52 PM
Default

Quote:
Originally Posted by DarkLord541 View Post
Habe aktuell genau das gleiche Problem.
...Es geht trotzdem. Was ganz blöd ist. Da so ein Gastnetz auch auf meine TK-Anlage kommt....
An die TK Anlage habe ich noch gar nicht gedacht. Ich habe auch 8-9 Geräte die auf keinen Fall, per http, aus dem anderen Netz erreicht werden sollten und umgekehrt.

Den HTTP Proxy umgehen für das Gast-Netz würde ich auch sehr ungern, da die Sicherheit einfach besser ist.

Vielleicht verirrt sich hier im Unterforum mal ein Fachmann. Der uns auf die Sprünge hilft.

Gruss Mario
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100

Last edited by mario2; 03-01-2011 at 06:54 PM.
Reply With Quote
Member
Join Date: Feb 2011
Location: Hamburg, Germany
Posts: 34
#14 (permalink)  
Old 03-02-2011, 10:19 AM
Default

Quote:
Originally Posted by mario2 View Post
Den HTTP Proxy umgehen für das Gast-Netz würde ich auch sehr ungern, da die Sicherheit einfach besser ist.
Desshalb die Destination Skip List. Dann greift es nur wenn ein Client auf das Netz zugreifen will. Nicht wenn jemand aus dem Netz raus möchte.

Ist aber neu in V8.160beta gab es vorher noch nicht.
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#15 (permalink)  
Old 03-02-2011, 06:45 PM
Default

Dann muss ich noch etwas warten un mich in Geduld üben
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100
Reply With Quote
Wizard
Join Date: Jan 2002
Location: Hamburg, Germany
Posts: 1,090
#16 (permalink)  
Old 03-04-2011, 01:18 PM
Default

Die lösung für die Trennung:

Masq Regle Netz3 nach DSL1

Packetfilter:
Netz3 Any Internet/ipv4.

Dann kann Netz drei nur ins Internet. Wenn der Proxy genutzt wird, dann im Profile für das Netz drei in der Blacklist die interne domäne eintragen und das interne Subnetz.
Bsp:
http://intern.testdom.dom
http://192.168.1.

Sven
__________________
Astaro Preferred Partner - Sophos Gold Solution Provider - Norddeutschland
Schleswig-Holstein - Hamburg - Niedersachsen - Mecklenburg-Vorpommern
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#17 (permalink)  
Old 03-05-2011, 07:20 AM
Default

Danke für den Tipp, ich werde es morgen gleich ausprobieren.

Danke!
Gruss Mario
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100

Last edited by mario2; 03-06-2011 at 05:41 AM.
Reply With Quote
Junior Member
Join Date: Aug 2006
Posts: 7
#18 (permalink)  
Old 03-05-2011, 07:47 AM
Default

Hi,

Ich habe den Thread gerade gelesen. Wenn ich das richtig verstehe, ist das Problem, dass HTTP- Seiten im anderen Netz durch den transparenten Proxy aufgerufen werden. Es ist richtig, der Packet Filter greift an der Stelle nicht mehr.
Um den Aufruf trotzdem zu unterbinden, würde ich die Seiten im Proxy in die URL-Blacklist eintragen. Einfach die entsprechenden URLs und um auf Nummer Sicher zu gehen auch die IP ( verhindert den Aufruf über die IP im Browser).
Dann sollte der Proxy den Zugriff auf die Seiten nicht mehr erlauben.

Gruss
OConnor
Reply With Quote
Junior Member
Join Date: Aug 2006
Posts: 7
#19 (permalink)  
Old 03-05-2011, 07:51 AM
Default

Quote:
Originally Posted by OConnor
Hi,

Ich habe den Thread gerade gelesen. Wenn ich das richtig verstehe, ist das Problem, dass HTTP- Seiten im anderen Netz durch den transparenten Proxy aufgerufen werden. Es ist richtig, der Packet Filter greift an der Stelle nicht mehr.
Um den Aufruf trotzdem zu unterbinden, würde ich die Seiten im Proxy in die URL-Blacklist eintragen. Einfach die entsprechenden URLs und um auf Nummer Sicher zu gehen auch die IP ( verhindert den Aufruf über die IP im Browser).
Dann sollte der Proxy den Zugriff auf die Seiten nicht mehr erlauben.

Gruss
OConnor
Oh, ich seh grad, den Tipp gab es schon. Sorry, neues App auf dem iPad, hab Seite 2 übersehe
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#20 (permalink)  
Old 03-06-2011, 12:14 PM
Thumbs up

Quote:
Originally Posted by maygyver View Post
Die lösung für die Trennung:

Masq Regle Netz3 nach DSL1

Packetfilter:
Netz3 Any Internet/ipv4.

Dann kann Netz drei nur ins Internet. Wenn der Proxy genutzt wird, dann im Profile für das Netz drei in der Blacklist die interne domäne eintragen und das interne Subnetz.
Bsp:
http://intern.testdom.dom
http://192.168.1.

Sven
Hallo,
jetzt funktioniert alles so wie es soll.

Ich habe jetzt die internen Webseiten im Netz2 z.B.

http://192.168.1. -->der Anfang der IP Adresse von Netz2
http://epg.mb --> interne Webseite von Netz2
http://server.mb
usw

auf der Blacklist (für das Netz3 Proxy-Profil) aufgenommen.

Vielen Dank, an allen fleissigen Helfer
Gruss Mario
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100

Last edited by mario2; 03-06-2011 at 01:34 PM.
Reply With Quote
Reply

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are On



All times are GMT. The time now is 09:20 PM.


Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2015, Jelsoft Enterprises Ltd.

These pages are specifically maintained for the discussion of firewall issues within the Open Source community, and might already reflect new alpha/beta releases under development. Please refer to our product specifications for the functionality of the actual release. Discussions of new/enhanced functionality does not constitute a commitment of Astaro, to integrate this functionality into future releases.