Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 6084 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User Access control for internet access?

pi-ken
Just trying to see if I've got this right.
I have several groups of users, some have full access to the internet and some have limited access to only selected sites.
I believe to do this I can assign a network
to each users ip address, then create a group
for them, then assign a rule to the group for
limited access, ie. "limit_grp deny all"
then "limit_grp allow www.ups.com". 
Am I correct in my thinking that this will work and the limit_grp will only have access
to www.ups.com.  How about using wildcard chars or dots in the url, ie. *.ups.com or
.ups.com? I'm currently looking into a couple
of diff firewalls (Surepoint, T.Rex)and Astaro seems to be the best bet, but I need
to have user access control.
TIA


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to bonezed
    Is the following a feature in 3.x and if not can it be?  I need to be able to control Internet access in the following manner.  The firewall needs to send the IP of the internal requester to my auth server (MSAD or Radius) Which has a database of IP addresses associated with their user names which is then compared to their group membership to see if they are allowed to access the Internet.  A Yes or No response is then sent by the Auth server back to the Firewall which in turn either passes the packet onto the Internet or drops it.
  • 0 in reply to Blake_01
    Hi Blake,

    sounds like being VERY interesting - I'd also like 2 see a function like that implemented in the next major release.
    If there is any workaround so far, please let me know.

    ciao,

    :-) Ralph
  • 0 in reply to Ralph
    SquidGuard is built in the MANDRAKE SNF 7.2 distro with web based administration. Free iso download at www.linuxiso.org.
  • 0 in reply to Brian Snyder
    First of all, are you aware of the administrative work you are taking upon yourselves??

    Maintaining a "forbidden" list is time consuming and may end up demanding alot of your firewall resources.

    Personally - I believe more in teaching my users than setting up restrictions for where and what they can visit. Users can be really sneaky...just to warn you :-)
    I'm one of the admins of a corporate network with several 10's of thousands of users, and we use websense for this type of job.
    If you are determined on not bothering to teach your users, websense would be a much better idea than anything you'd administer primarily on your own.

    Best regards,
    Ørjan Sandland
  • 0 in reply to Orjan Sandland
    First of all I have to agree a Deny list is very demanding...  It is also very needed though.  Just certain IPs (sites) need to be banned.

    Also Mandrake SNF was something I tested heavily... Thats why I am using ASL  lol...

    Mandrake had LOADS of bugs and very poor masq...

    Only thing it had right was the PPPoE support
  • 0 in reply to Resistance
    I installed SNF 7.1 at home and with a client site. In both installations, bastille (the hardening part) decided not to work after a few weeks - and repairing it was not an option.

    If you just want to shutdown certain sites, what about entering a simple rule into the ruleset??

    Define the problem host in Definitions|Networks with a host specific mask  (ip address of host, netmask 255.255.255.255)
    Then in Packet Filter|Rules add an entry that disallows traffic FROM your LAN to the host in question on all ports or just HTTP if that is your only concern.

    The only suggestion besides that, is that you take care when you are naming the host - so you can identify this type of filtered hosts easily.
    One option is to have it start with a Z, so the web interface will sort this type of filtered hosts in the bottom of the list. You could name it "Z  " as in "Z PORNSTOP www_somepornsite_com"

    Just a thought.

    Best regards,
    Ørjan Sandland
  • 0 in reply to Orjan Sandland
    quote:
     If you just want to shutdown certain sites, what about entering a simple rule into the ruleset??

     


    Hey Ørjan Sandland this methode is kind of good if you want to block 1 or 5 or even 10 sites but not the way to block 100 or 1000 sites  [:)] 

    I want kind of a squidguard in return we will give the vlan support hack for astaro  
  • 0 in reply to sjacobs
    Banning 100-1000 would be a pain in the ass honestly.  Squidguard would be IDEAL.   I am sure ASL will do it I mean most firewalls have it so they will shortly follow
  • 0 in reply to Resistance
    Besides the pain of upkeeping a deny list of 1000's of sites, the shear resource power it would take to pass every outgoing packet through each rule would be saggering.
    Simply NOT a good idea.  [:(] packet.
Unfiltered HTML