Allow only selected users to connect to the Internet

Hello,

I don't know whether it is possible to select on users...

But you can do so for selected machines.


Just created network definitions for the machines that need to have access to the internet.

After this create a packet filter rule who looks something likes this:

IP of the client pc => Any
            Service: Web Surfing (this includes the HTTP, HTTP Proxy, Http Webcache and HTTPS)


Regards,
Eli_DS

Hi Eli, thank you for your quick reply, i was also hoping if i can use the MAC address of the client pc or by user. if I use the packet filter as in your example i guess i will stick to "any" for each individual user as service. Do i still need to use the masquerading for each or perhaps the DNAT/SNAT for each individual client pc? will that be necessary? or the packet rule has enough security? Or what else you may suggest? thanks![:)]

Do you use HTTP Proxy? in what mode? do you have AD?
give us more detail.

Since I have not been using the Astaro for long I can't answer your question regarding the Mac adress... Sorry

By adding the Ip => any you will allow the pc to acces wan, lan, ...


Depending on your network structure you can play with different services/ networks.

DNAT / Snat isn't needed since this will just forward an incomming up to a different location (right ? [:)])
We use this for website's that we are hosting on servers
E.G
Any => Wan adress .237 (Via port 15470)
Destination => Server (via port 21)

So for just access to the internet you do not have to set up this rule.

For masquarading it also depends on your network structure...
We just use 
Lan => Wan
Lan => DMZ


It would indeed be good to provide more information so we can assist you in a better way.


Regards,
Eli_DS

Would I be able to block specific internal IP's this way if I am using SSO to enable the other users who are allowed to surf?

It doesn't seem to be working for me.

I tried putting the rule @ the top & bottom.

Thanks.

The packet filter rules will have no effect on users going through the HTTP Proxy.

Please be more precise about the problem you are trying to solve and whether you have a Web Security subscription.

Cheers - Bob

The packet filter rules will have no effect on users going through the HTTP Proxy.

Please be more precise about the problem you are trying to solve and whether you have a Web Security subscription.

Cheers - Bob

Oh ok - I thought it had encompassing power over the HTTP proxy rules...

Yesh, we have a Web Security subscription...

I cannot for the life of me find a way to block specific machines or ip's from surfing other than eDIR group membership or GPO which are user-based mechansms.

I need to block specific devices from surfing and there is no easy way to disable IE in Windoze XP that I know of - even if I could, that would probably cause additional issues.

Currently, we use eDIR SSO for group membership to surf via HTTP proxy with Asstaro 425.

Thanks!

Thanks Eli, well i'm testing using the packet rule for each client pc that needs Internet access but i also tried that to work in partner with the masq rule meaning if i set host_ip=>any on the packet rule i also need to set the same host_ip=>wan on the masq rule, i disable the lan=>wan since if some restricted users places a dns server and gateway address on the tcp/ip of their machine that restricted user could have web access is that right?. Well the DNAT i think i can use that on the cameras together with its assigned TCP ports so that a mobile user can check the camera when he is in remote, is that right?[:$]

Seems to be correct yes

King, there are several possible solutions.  The easiest is if you aren't using the 'Transparent mode skiplist' on the 'Advanced' tab.  You can put the hosts in there, unclick the box for 'Allow HTTP traffic for listed hosts/nets' and make sure none of your packet filter rules allow HTTP/S.

Will that work for you?

Cheers - Bob