Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 124431 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking specific IP addresses

BigO
I was after some advice as to the best method of blocking web access from specific IP addresses to my web server, that is located in a DMZ.
Currently I do not have the HTTP proxy enabled.


This thread was automatically locked due to age.
Parents
  • 0
    That looks like how I understand it.

    My interpretation of the 'Allow HTTP traffic for listed hosts/nets' checkbox is that it creates the PF rules needed to allow such traffic; I don't know if it checks to see whether it only needs to allow '[host] -> HTTP -> Any' traffic, 'Any -> HTTP -> [host]' traffic or just does both.

    I haven't experimented with it, but I wonder if anyone has tried this...

    If you are in a non-transparent mode and want to offer unproxied traffic for some remote hosts without forcing the users to switch back and forth between proxied-8080 traffic and unproxied-80 traffic, could you use a NAT rule like 'Internal (Network) -> [Port 8080] -> [selected hosts] : DNAT to [Port 80]'?  That won't work if DNAT comes after the HTTP Proxy or if the HTTP Proxy considers the source port instead of the destination. [see PS]

    Cheers - Bob
    PS The answer to my question in this post is "No."  DNATs do indeed come before the Proxy, but, in non-Transparent modes, the Proxy resolves the FQDN in the URL.  In Transparent modes, name resolution is done by the client, so the host's IP is known before the proxy receives the HTTP command.
Reply
  • 0
    That looks like how I understand it.

    My interpretation of the 'Allow HTTP traffic for listed hosts/nets' checkbox is that it creates the PF rules needed to allow such traffic; I don't know if it checks to see whether it only needs to allow '[host] -> HTTP -> Any' traffic, 'Any -> HTTP -> [host]' traffic or just does both.

    I haven't experimented with it, but I wonder if anyone has tried this...

    If you are in a non-transparent mode and want to offer unproxied traffic for some remote hosts without forcing the users to switch back and forth between proxied-8080 traffic and unproxied-80 traffic, could you use a NAT rule like 'Internal (Network) -> [Port 8080] -> [selected hosts] : DNAT to [Port 80]'?  That won't work if DNAT comes after the HTTP Proxy or if the HTTP Proxy considers the source port instead of the destination. [see PS]

    Cheers - Bob
    PS The answer to my question in this post is "No."  DNATs do indeed come before the Proxy, but, in non-Transparent modes, the Proxy resolves the FQDN in the URL.  In Transparent modes, name resolution is done by the client, so the host's IP is known before the proxy receives the HTTP command.
Children
  • 0 in reply to BAlfson
    Well, I will be in transparent with authentication or just transparent.  I want the kids to have to log in so I can really lock them down. with a block everything but these sites setup. 

    It took a few trys but by adding, for a test using MSN.com,  65.0.0.0/8 (PF rule 2)to my block by default list and adding the block by default to my proxy exception list and then adding in four IP's for MSN that allows these four IP's...(PF rule #1)  I was able to get to MSN.com... but it was slow to come up.  No biggie though.  The only exceptions I anticipate will be for Kaspersky's websites.  I won't need to go there very often.

    That little flow chart should be helpfull to beginners, like myself.

    Thanks,

    C68