219 Membres 1027 Contributions

Open Community

Discussions par mots clés : http

Résolue

2 problèmes de téléchargement liés à FAST

Posée par N.gaugain dans Matériels et performances

Bonjour,

Nous sommes équipés d'un P1206 avec la dernière version du système en 6.09.

Nous sommes passés d'un SDSL de 10Mo à une SDSL de 100Mo.

Depuis lors du téléchargement de la mise à jour JAVA, j'ai ce message d'erreur sur l'ensemble des postes de notre réseau :

---------------------------
Erreur - Programme d'installation de Java
---------------------------
Downloaded File C:\Users\t.mallet\AppData\LocalLow\Oracle\Java\jre1.8.0_91\jre1.8.0_91full.msi is corrupt.
---------------------------
OK   
---------------------------

J'ai donc créé un règle qui permet de sortir par HTTP sans FAST au lieu de HTTP FAST. Et là je n'ai plus de problème.

Idèm pour le téléchargement d'un firmware ici : http://download.lenovo.com/nas/lifeline/px4-300r-4.1.204.33661.tgz

 

Savez-vous d'ou peut venir ce soucis ?

Résolue

Relais http & cookies

Posée par Jb dans Fonctionnalités et système

Bonjour,

Sur un cluster P1206 en version 5.0/34, un relais http explicite est en place.

Les clients n'arrivent pas à utiliser un site web d'information et ont le message d'erreur suivant (voir capture ci-jointe).

Sur l'AkMonitoring, la requête web passe bien avec un code 200.Les ADVANCED_URL de sites d'infos sont retirées.

Le site est correctement accessible depuis le web et même à travers d'autres appliances...

Est-ce un comportement identifié ? Comment le résoudre ?

En vous remerciant par avance.

Cordialement,

JB

 

Résolue

Erreur 502 lors du téléchargement MAJ windows 8.1 ou ISO windows

Posée par N.gaugain dans Fonctionnalités et système

Bonjour,

Nous avons une erreur 502 dans les logs html lorsque nous tentons d'accéder aux téléchargement des ISO de microsoft par le biais de leur site Microsoft Licensing.

Et nous avons la même erreur pour télécharger la mise à jour Windows 8.1 Pro (pour passer de Windows 8 à 8.1).

Voici le genre de logs que nous avons :

 Date : Wed Jul 16 17:34:00 2014  Arkoon : Ark01.mairie-royan.fr  IP Client : 192.168.40.218  Requête : HEAD http://fg.v4.db.dl.ws.microsoft.com/dl/content/d/updt/2014/04/9600.17050.winblue_refresh.140317-1640_x64fre_client_professional_fr-fr-ir3_cpra_x64frer_fr-fr_esd_01a64b188cc0e12b081b520e1264cddf019b0e28.esd HTTP/1.1  Code résultat : 502  Navigateur : Microsoft BITS/7.6  Nb octets : 0  Catégorie : WindowsUpdate  Nom règle : Liste Blanche  

Au départ j'ai créé une liste blanche car j'avais des problèmes de detection de virus-bombing sur les mises à jour Windows. Et comme on peut pas mettre de FQDN pour passer outre le proxy, je suis...

Voir la suite
Résolue

Skype via le proxy http

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

Sur une appliance FASt 360 en version 6.1, comment autoriser Skype à travers le relais http ?

L'article KB 1327 ne m'aide pas trop, car surcharger les règles du relais pour désactiver l'analyse FAST http/https ne semble faisable que globalement, c'est-à-dire pour tous les clients et tous les serveurs web, ce qui n'est pas trop sécurisé.

En effet, le nombre d'adresses IP publiques de destination pour les flux Skype est tellement important, qu'il est illusoire de les identifier pour restreindre les règles du relais à surcharger; de même, il n'est pas question d'autoriser des utilisateurs à surfer sur Internet via le proxy, sans aucun contrôle applicatif sur les protocoles http ou https.

J'avais cru comprendre que la V6.1 permettrait d'identifier des flux Skype ou Facebook ?

Merci pour votre aide,

===================================================

Le Contexte :

En principe, les utilisateurs surfent sur le web à travers le relais http, mais cela est...

Voir la suite
Résolue

Transfert de fichier sur relais http

Posée par Jb dans Administration

Bonjour,

Nous souhaitons autoriser nos utilisateurs à ouvrir des liens de transfert de fichiers (.zip) à travers le relais http.

L'URL du site en question est du type : https://d.transfer.fr/<nom_de_fichier>.zip
Une catégorie a été créée et autorisée dans les règles applicatives.

Lorsque nos utilisateurs tentent d'ouvrir un lien, le navigateur affiche le message d'erreur "connexion réinitialisée par le proxy".
Du côté des logs IP, nous avons des paquets bloqués entre le client et le proxy pour violation de protocole applicatif. En revanche, dans les logs http, la requête est acceptée (code 200).

Quelqu'un pourrait-il nous éclairer sur ce sujet ?

Cordialement,

JB

Résolue

Gestion de la bande passante

Posée par N.gaugain dans Fonctionnalités et système

Bonjour,

Nous utilisons actuellement un arkoon Fast360 P1206 avec une image AMC pour la partie management. La version du système est la 6.0XD_130805_0601

Nous avons une connexion Fibre ADISTA de 20M dont 8M pour l'accès Internet et 12M pour des liaisons dédiés MPLS.

Depuis quelques mois, nous avons des baisses de traffic à 0 pendant 5 à 30 secondes et ce plusieurs fois par heure. Parfois toutes les 5 minutes quand la connexion est très solicitée.

Nous avons effectué plusieurs test avec notre prestataire Arkoon, la société Arkoon et notre prestataire ADISTA sans succès.

Nous avons décidé de tester un boitier SonicWall NSA 4600.

Au départ, même soucis de déconnexion. Suite à cela, le technicien à modifier les paramètres de la gestion de la connexion comme ceci :

 Sachant que seule la ligne "2 High" est utilisée.

Après ce changement, la connexion Internet n'a subit qu'une coupue en une matinée. Ce qui est beaucoup mieux même si ce n'est pas parfait.

Voir la suite
Résolue

FAST 360 Autorisation des activations Windows

Posée par Xavierg dans Administration

Bonjour,

Nous avons récemment mis en place 2 appliances FAST360 en HA (version 6.0/3) et nos utilisateurs surfent sur Internet avec la fonction de relais HTTP et HTTPS. Nous procédons à une authentification Kerberos+Base pour nos users qui doivent faire partie d'un groupe AD pour avoir un accès total. Le proxy est défini à l'aide d'un fichier .PAC.

Nous avons aussi une règle sans authentification qui autorise un surf "minimum" sur certains sites web.

Concernant le filtrage pur, nous bloquons tout par défaut et autorisons seulement ce qui est défini.

Ces règles fonctionnent. Cependant nous rencontrons un problème pour l'activation des machines Windows.  En effet, les machines doivent être capables d'atteindre les sites web suivants :

  • http://go.Microsoft.com/
  • https://SLS.Microsoft.com/
  • https://SLS.Microsoft.com:443
  • http://CRL.Microsoft.com/PKI/CRL/Products/MicrosoftRootAuthority.CRL
  • ... Voir la suite
Résolue

Proxy authentifié / non authentifié (NTLM)

Posée par Michael L. dans Fonctionnalités et système

Bonjour,

je souhaiterais mettre en place le proxy HTTP en mode NTLM + Basic de la manière suivante:

 - règle 1: whitelist autorisée pour tout le monde (pas d'authentification) sur le LAN

 - règle 2: sites sensibles bloqués pour tout le monde (porno, warez, etc..) (pas d'authent.) sur le LAN

- règle 3: navigation vers tous les sites hormis les sensibles (accès authentifiés sur le groupe "super-utilisateurs" du domaine) sur le LAN

 - règle 4: blocage des sites intermédiaires (social_network, ecommerce, games) pour tout le monde (pas d'authent.) sur le LAN

- règle 5: navigation vers tous les sites hormis les sensibles et les intermédiaires (accès authentifiés sur le groupe "administratif" du domaine) sur le LAN

- règle 6: blocage des sites non professionnels (voyages, shopping, vacances) pour tout le monde (pas d'authent.) sur le LAN

- règle 7: navigation vers tous les sites hormis les sensibles, les intermédiaires et les non professionnels (accès...

Voir la suite
Résolue

Règle ne laissant passer que Skype sur une règle HTTPS et HTTP

Posée par Anonyme dans Securité

Bonjour,

 

Nous utilisons Skype dans notre netreprise et j'avous que c'est ultra galère pour complètement l'autorisé vu la complexité de connexion de Skype.

 

je ne peux pas créer de règle permettant de tout autorisé sur le 80 et le 443. Même si nous avons un proxy, de petits malins pourraient le désactiver et donc avoir accès à tout les site.

 

Je souhaiterai donc créer une règle qui n'autoriserai que Skype sur ces ports (via une analyse IDPS). j'ai trouvé comment le bloqué mais pas comment l'autorisé uniquement.

 

Avez vous des idées ?

 

Cdt,

Résolue

Lenteurs du proxy HTTP

Posée par brunoT dans Matériels et performances

Bonjour,

Suite à notre migratin en version 6.0 il y a quelques jours, nous constatons un problème qui semblait déjà présent en version 5, mais qui se trouve "exacerbé" en version 6.0: de piètres performances du proxy HTTP.

Notre configuration est un peu particulière et potentiellement à l'origine du problème, mais je souhaiterais savoir si c'est bien le cas, et éventuellement comment nous pourrions y remédier (toutes idées bienvenues, donc ! :) ).

Nous avons en effet, pour des raisons historiques, un proxy "squid" devant le proxy HTTP des appliances. Un client interne requérant une page web à l'extérieur passe donc en premier lieu par ce proxy squid, qui retransmet ses requêtes au proxy HTTP Arkoon.

Or, nous constatons une lenteur qui, si elle était tolérable en version 5.0, devient (bizarrement) insupportable en version 6.0, et après avoir réalisé des traces réseau, on constate en effet que c'est au niveau du proxy HTTP Arkoon que des choses se passent. Un...

Voir la suite
Réalisée

Bug sur proxy HTTP si Content-Length > à 2^32 ?

Publiée par brunoT dans Fonctionnalités et système

Bonjour à tous,

Je subis actuellement, sur une appliance FAST360 P-2508, ce qui ressemble fort à un bug, et je voulais savoir si quelqu'un d'autre en avait été victime.

Je tente actuellement de télécharger un fichier très gros (une image ISO de DVD d'environ 4,5 Go), et je récupère un :

HTTP/1.1 502 Proxy Error

de la part du proxy HTTP de l'appliance.

Dans le texte renvoyé à l'utilisateur, on voit, entre autres:

Invalid Content-Length from remote server

 

Les traces réseau récupérées avant et après le proxy montrent bien que le serveur distant, pour sa part, renvoie bien une réponse correcte "HTTP/1.1 200 OK", la seule particularité de cette réponse étant l'en-tête:

Content-Length: 4617043968

Soit un tout petit peu plus que 2^32 (4 294 967 296).

Est-ce un bug connu ? Le proxy HTTP serait-il dans l'incapacité de traiter un Content-Length supérieur à 2^32 ?

 

Merci !

Bruno

Abandonnée

Filtrage Web - Proposition de critère de type URL référente

Publiée par Atchoum

Bonjour,

Je vous retransmets une suggestion de développement qui m'a été proposée.

Il s'agirait de proposer du filtrage d'URL incluant un critère d'"URL référente", éventuellement récursif.

Un intérêt serait de simplifier la gestion manuelle de catégories de filtrage d'URL "utilisateurs", en partant du principe qu'en autorisant (ou interdisant) l'accès à un site web, l'accès aux "liens externes" référencés par ce site seraient automatiquementautorisés (ou interdits).

Exemples d'utilisation :

Sans récursivité :

1) Tous les accès à une URL de la catégorie "Permis" sont autorisés
2) Tous les accès à une URL qui a une URL référente dans la catégorie "Permis" sont autorisés
3) Tous les autres accès sont interdits.

AVec plusieurs niveaux de récursivité , les régles précédentes seraient interprétées comme :

1) Tous les accès à une URL de la catégorie "Permis" sont autorisés
2) Tous les accès à une URL qui a une URL référente dans la...

Voir la suite
Résolue

Blocages de sites http et https par le proxy

Posée par Pithivier dans Fonctionnalités et système

Bonjour,
Nous avons régulièrement des soucis d'accès sur des sites essentiellement en https qui sont bloqués par le proxy, sans message d'erreur explicite. La solution est fastidieuse et consiste à repérer l'adresse IP de ces sites et via une règle de flux passer en http(s) direct au lieu de http(s) proxy.

Depuis hier nous avons une augmentation de ces sites qui sont bloqués, nous n'avons pourtant pas fait de mise à jour particulière, nous sommes toujours en 5.0/24.
Es-ce une coïncidence ou bien une mise à jour automatique de signatures peut provoquer ce genre de désagrément ?

Ce problème récurrent a-t-il été pris en compte par Arkoon ?

Nous envisageons treès sérieusement de passer par un proxy externe de type olféo ou autre.


Merci à vous.

Cordialement.

Résolue

Filtrage https

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Est il possible de forcer le forcer les connexions HTTPS à travers le relais HTTP en interdisant la sortie direct sur internet ? En effet, je souhaiteeris interdire certains sites de réseaux sociaux et webmails qui permettent desormais de se connecter en https.

Merci d'avance

Résolue

Problème avec dl.free.fr

Posée par Marco dans Administration

Bonjour à tous,

J'ai un problème avec le relais HTTP et UN site de téléchargement : dl.free.fr.

Lorsque le proxy est activé le téléchargement est extrêmement long (voir interminable) par contre lorsqu'on enlève le proxy le téléchargement se fait normalement.

Je n'ai rien repéré d'anormal dans les logs ou le monitoring.

Je suppose qu'il y a certainement une explication logique mais je ne vois pas laquelle.

Avez-vous une solution à me proposer pour résoudre ce problème ?

 

Messages d'alerte