HTTP proxy and deny packet rule does not work

Hi comeanddance, 

well this is no bug. 
Just a little misunderstanding.

The rules you added to the packetfilter specifies a forwarding rule.
That means if the packet enters trough a nic and is directly forwarded to another nic.

If you use the HTTP proxy, this is no forwarding connection but an incoming to the firewall.
Than this does not apply.

If you want to secure the access to the HTTP proxy, you have to go to Webadmin > Proxies > HTTP > Allowed Networks.

Here you can define with networks are allowed to access the HTTP Proxy.

If thats not enough, you can activate the User Authentication, so everybosy who wan't to use the proxy, has to authenticaten himself.

I hope that helped, 

Greetings from Germany 

Gert

Gert,

Thanks for the quick reply.

In Webadmin > Proxies > HTTP > Allowed Networks, I can not restrict one specific PC from accessing the HTTP proxy.

Let say I have 50 PCs (all on the same IP subnet) and I only want to restrict ONE specific PC from access the internet and I also want HTTP proxy enabled, do you have any suggestions or ideas how to do this ???

forgot to mention one more thing, we DON'T want to enable User Authentication.

andreas,

I know I can add definition for every PC other than the restricted PC, but I want to avoid doing this if I can find a way to enter for just ONE restricted PC.

Is there any other way you can think of without entering all the difinitions ????

One way to accomplish this is to turn off http proxy and allow it by rules...  Rules are processed in order from top to bottom stopping at the first rule that results in a match.  

Therefore if you define and allow the one pc outgoing access to port 80 then define the entire subnet and deny access to port 80 it should accomplish what you are looking for..


Greg

Greg,

Turn off http proxy does work (I stated this in my email), but I want to know if I can get it to work with http proxy turn on

How many IP's do you have in your internal subnet?

Hi comeanddance,

what about making a host entry in defintions / networks like
myhost 192.168.5.29 255.255.255.255

and adding that "network" myhost to the list of allowed networks in your proxy configuration? 
For 50 hosts, that would be quite a dull task, but should do the job; and i suspect you don't have 50 PCs  [;)]
It would be cleaner to have 2 subnets, though ...

greets,
andreas

Hi comeanddance,

what about making a host entry in defintions / networks like
myhost 192.168.5.29 255.255.255.255

and adding that "network" myhost to the list of allowed networks in your proxy configuration? 
For 50 hosts, that would be quite a dull task, but should do the job; and i suspect you don't have 50 PCs  [;)]
It would be cleaner to have 2 subnets, though ...

greets,
andreas

andreas,

I know I can add definition for every PC other than the restricted PC, but I want to avoid doing this if I can find a way to enter for just ONE restricted PC.

Is there any other way you can think of without entering all the difinitions ????

One way to accomplish this is to turn off http proxy and allow it by rules...  Rules are processed in order from top to bottom stopping at the first rule that results in a match.  

Therefore if you define and allow the one pc outgoing access to port 80 then define the entire subnet and deny access to port 80 it should accomplish what you are looking for..


Greg

Greg,

Turn off http proxy does work (I stated this in my email), but I want to know if I can get it to work with http proxy turn on

How many IP's do you have in your internal subnet?

let say 50 to 100 ip addresses..