Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1659 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

denying a user access to the net

William Warren
I have all computers in my internal network set statically by MAC via dhcp.  How do i block one user form accessing hte internet?  I have a packet filter rule of the user then any any drop.
However this has not stopped the users form connecting to the net..any ideas?
 


This thread was automatically locked due to age.
  • 0
    What you've got to do is make sure that a drop rule like that goes at the head of the list on your rules.  Make it rule #1.  If it's later in the list, any rule ahead of it will take precedence.  Your rule should say:

    From (External Interface or Any), Service (Any), To (Computer definition), Drop.

    You might want/need to create another rule that affects the opposite direction:

    From (computer definition), Service (Any), To (Any), Drop.

    From 
    -Steve 
  • 0
    Hi William,

    are you using HTTP Proxy ?
    If so, check out that you don't allow access from your whole network, but rather every single computer you wish to be able to connect to the Internet.

    If you access directly, check if there is another rule allowing your computer access (maybe within a group definition ?).
    Be sure that your 'deny' rule is in front of the 'allow' rule.

    Regards,
    Karsten
      
  • 0 in reply to KKnecht
    yes i am using hte proxy..so i ahe to setup a definition for every user then deny them to http proxy as well?  

    This makes firewall administration a but more burdensome than it should be IMO 
  • 0 in reply to William Warren
    We wanted to do the same thing here for a group of users.

    My users were sitting on a /24 subnet. I used DHCP reservations and exclusions to assign specific machines IP addresses through the first /25 of the block. The second /25 (128 addresses) are dynamically assigned. I have deny rules setup for the second half of the block. 

    I needed to get a bit more defined, since I did have to allow *specific* sites to all users. This required more than just defining the "allowed" half of the network in the HTTP proxy. Instead, I hand-coded some ACL's into the squid.conf.default so that the "denied block" could stil access certain sites (mostly intranet). I also had to create a few HTTPS exceptions within the packet filter. 

    Anyway, my point is that if you split the subnet logically, you can define blocks which have and don't have access accordingly, and the "administrative nightmare" is lessened.

    HTH,
    -Rick 
  • 0 in reply to HTMLSpinnr
    well if i had public ip's i would do that but this is for a 4 computer home network..[:)] 
  • 0 in reply to William Warren
    So, where is the problem to enter  4 Computers in your network definitions ??
        
  • 0 in reply to OfficeDefender
    Oh I am aware of the rule order...the issue ws the http proxy letting peeps by..which due to answres in this thread i can now lock down..  
  • 0 in reply to KKnecht
    Oh it is not a problem for 4 users....now 40 or 400..that gets tedious..and therin lies my complaint..but this product works so well it is a minor quibble..i will sti be selling this product with my highest recomendations..(that is why i am running htis at hime and tinkering iwth it..) 
  • 0 in reply to William Warren
    If you'd have 400 users, you could think about Proxy authentification, perhaps RADIUS or LDAP.
    So you 'only' need to built a group with allowed users and add them there.
    Then you don't need to create 400 network entries.