Schedule Outage

'Definitions >> Time Events' - these can be used in 'Network Security >> Packet Filter' 'Rules' and in 'Web Security >> HTTP/S Profiles' 'Filter Assignemts'.

Cheers - Bob

Thanks BAlfson, but I tried to set rules for DNS and http/https with no effect. I set a new Tme Event called 'After Hours' and set it for 0:00 to 5:00. I then set the deny connection. Another way I tried was set a rule for 'Work Time', from 0700 to 1700 with accept with no avail. Both ways didn't work. What I am trying to accomplish is, that ALL traffic is blocked from Midnight till 5 am!


Regards,
Lowen

you need that rule above the allow rule.
Or better (one rule instead of one deny and one allow), just choose workhours in "Time Event" in the packet filter rule.

Please give us a little more detail about your situation: version of Astaro?  Using the HTTP/S proxy?  In what mode?

When you say you "set the deny connection," where did you do that, and what traffic did you see that showed you weren't getting what you wanted?

Cheers - Bob

Hi,
if you are using the ASG as your DNS, the rules won't work by blocking the DNS unless you stop your clients accessing the internet. DNS blockages can be bypassed by absoluter addressing.

As was suggested earlier for packet filter traffic a rules that
internal network -> any port -> any network -> allow with a time function.

After hours traffic will then fall through to the default block rule.

Again a similar setup up with the proxy profile.

Remember though that the proxies come higher up the ladder than the packet filter rules.

Ian M

Hi all,

Thanks for the replies. I assumed that ASG (7.5) would drop all traffic once DNS was set to disable in the packet filter rules section. But, as Ian pointed out, it doesn't. I do have a transparent proxy setup with content filtering. Dns is set from internal network to ASG. I did however take all the packet filtering rules that were for web surfing and put the time schedule on them. That didn't work either. You could still 'surf' once the time was up and or triggered. Which, brings me back to my original question, can Astaro be set to block all outbound traffic at a certain time? If by design it can't, I'll move on to bigger and better things....

Regards,
Lowen

When you say you "set the deny connection," did you mean that you added a packet filter blocking rule?

As Ian's comments also imply, the issue is with the HTTP/S Proxy, which handles HTTP requests and never even considers the packet filter rules.  A packet filter rule to block HTTP trafffic has no effect when the HTTP/S Proxy is enabled.  If you are in a transparent mode, you can use PF rules for other traffic handled by your browser.  In fact, if you don't choose 'Scan HTTPS (SSL) Traffic', you can't do HTTPS transactions with your bank or credit cards unless you have a PF rule allowing such traffic.

In 'HTTP/S Profiles', create a 'Filter Action' in 'Mode' "Block by default" and don't check anything.  Next, create a 'Filter Assignment' leaving 'Users/groups' empty, and selecting the blocking action you just made and your midnight-to-5am 'Time Event'. Finally, create a 'Proxy Profile' with 'Source Networks' the same as you have in 'Allowed networks' in 'HTTP/S', select the 'Filter Assignment' just created and "Default filter action" for 'Fallback action'.

Now, along with a PF rule blocking (or not allowing) HTTPS and other 'Web Surfing' traffic, you should be done.

Cheers - Bob

Thanks again for the explanation(s). @Bob- Yes I meant packet filtering rule for web surfing, DNS, ect... I will give it a shot when I get home from a VM fastrack class. 


Regards,
Lowen