This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Assign users to specific IPs

I'm new to using Astaro and am having trouble setting it up.

I'm using this in a home setting.  The Astaro system will be put between my cable modem and home network switch / wireless access point.

I would like to setup Astaro to do web filtering with rules selected based on the IP address of the computer.  I have setup users and groups and have the filters setup, but I'm not sure how to assign IP addresses to specific users or groups.

I don't have any other authentication means on my network at this point.  I'd prefer to not have to login when trying to get out to the web.  I'd like the filtering to be done automatically based on the computer that is trying to connect to the website.

I've searched the forums, documentation and have done several google searches, however, I haven't been able to find the right information.

How do I assign specific IP addresses to users or groups or setup web filtering on a per-IP or MAC address?  I have my network setup to do static DHCP based on the MAC address.

thanks


This thread was automatically locked due to age.
  • Hey, murf, welcome to the User BB!

    1. Create a Proxy Profile for each IP address.

    2. Delete the Packet Filter (firewall) rule 'Internal (Network) -> Web Surfing -> Any : Allow'.

    3.  In 'Web Security >> HTTP/S', select "Standard" mode.

    4. On each PC, set Tools, Internet Options, 'Connections', [LAN Settings], set the proxy to the IP of "Internal (Address)" on port 8080.

    That should do it.

    Cheers - Bob
  • Thank you for the help.  Your first step helped pointed me in the direction to address my issue.  
    I ended up creating a network definition (Host) under Definitions and Users for each IP address.
    I then added those network definitions in the Source networks of the proxy profile.

    I've been able to test this out with 2 different computers with different profiles and another computer that runs on the default.  It seems to work ok.

    I'm also keeping the proxy set to transparent.  We have a few programs that don't support setting the proxy, so proxy transparency is important.

    Is there something else I should do here or is this setup good enough for a small network (10 to 15 IP addresses)?

    Also, I'm going through some of the other settings within Astaro.  I might end up using some additional features of the tool.  Will I be restricted with using any of the features if I don't have specific users/groups and instead just stick with Host network definitions based on IP addresses?

    By the way, I'm using Astaro 8.201.
  • I'm also keeping the proxy set to transparent. We have a few programs that don't support setting the proxy, so proxy transparency is important.

    That means that the users only have to change their IP to get through to the default (defined in the HTTP/S section), so make sure that that's the most restrictive.  I'm not sure what you mean about programs that don't support proxy settings - how about an example?

    This is a good start.  If you really want to control what the kids can do, you'll need to follow the rest of the prescription.

    Cheers - Bob
  • Some of my kids games need web access to download some components of the game.  I have also had issues with web proxy settings in some of the Steam games my older son plays.  We've sorted through most of them, but they end up being more support effort than I'd like.   For a home environment and to easy my support burden, the transparent proxy seems like a good solution.
    We also have a few non-PC based systems (Wii, Blu-ray player, B&N Nook devices, smart phones, etc.) that might have difficulty connecting through a proxy.  I'm not entirely sure of the extent of the issue or whether or not they can be worked around.

    With the ability for the users to change the IP, I will definitely have the web filtering set to the most restrictive list for the default filtering.  Right now, I have the default filtering setup to white-list only filtering.  I will reduce this some, but not much.

    Thanks again for the reminder about to make the default the most restrictive.
    I'll look through the rest of the settings tonight to see what else I'm missing.

    Thanks - Brian
  • you might also just use transparent mode and use the Astaro Authentication Agent, which lets you do per-user filtering and policy without having to move the proxy from transparent mode.
  • The authentication agent looks interesting, but it appears it only works for the PCs.  As I understand it, I'd still have to use the IP address or some other authentication for the mac, ipod touch, nook, Wii and roku.  Given the mixed types of systems on the network, I'd like to have one authentication plan.  I think the IP address based authentication might work.

    I'm setting static IPs from the MAC address in the DHCP setup.  Then I setup a host in the network setup using the IP.  I'll setup network groups based on the hosts and then filter on those network groups.  Any IP not associated with one of the defined groups will fall through to the default filter which will be the most restrictive.

    The only potential way around this that I can see is if someone with a heavily restricted IP manually switches their IP to one from a machine (that is turned off) that has a low restriction.  If I find that this happens, I'll have to go with some additional authentication.

    This is my currently plan.  I'm still open to suggestions given that I'm still not very familiar with Astaro and all of its capabilities.  I'll need to get more information on user authentication to see what other options I might have.

    Thanks
  • ...

    The only potential way around this that I can see is if someone with a heavily restricted IP manually switches their IP to one from a machine (that is turned off) that has a low restriction.  If I find that this happens, I'll have to go with some additional authentication.

    ...
    Thanks


    Is there a was to prevent this loop-hole?
    or any other way of configuring to achieve a similar goal a different way?
    I was hoping there was some way to block a mac address that is not bound to the correct IP address.
  • No, it's not possible to make rules based on MAC addresses at present.  Your best bet is to block everything for unauthenticated users, and then use Agent authentication to identify individual users/PCs.

    Also, anyone can click on my name above and email me a request for a document that several of us here have worked on and that I keep updated: Configure HTTP Proxy for a Network of Guests – V8.3

    Cheers - Bob