block internet for specific internal IP addresses

Hey, Wyocowboy!

In general, traffic is considered in the following order: DNATs, Proxies, Packet Filters and Static Routes, SNATs.  You can see that the traffic wasn't blocked by your packet filter rule because it already got handled by the HTTP/S Proxy before your PF rule could be considered.

If you're in a transparent mode, you can just add a network definition for the lab IP range to the 'Transparent mode skiplist' on the 'Advanced' tab.  De-select 'Allow HTTP traffic for listed hosts/nets', and add packet filter allow rules to let traffic pass for anything you want to allow.

If you're in a non-transparent mode, you'll need to create a profile for the range of lab IPs.

Cheers - Bob

Bob's pointed you in the right direction- but there's also an error in your PF rule, you will want to specify either Any or Internet for destination to be blocked.  As written, your rule will only keep the systems from accessing the WAN subnet.

Thanks, I was afraid you were going to say that. I am running transparent mode, with scan ssl and full transparent unchecked. By 'add packet filter allow rules to let traffic pass for anything you want to allow' do you mean just the items that I currently have in the transparent mode skip list (9 items), or do you mean that I have to do this for *all* traffic that I want to pass for all other computers?

Bob's pointed you in the right direction- but there's also an error in your PF rule, you will want to specify either Any or Internet for destination to be blocked.  As written, your rule will only keep the systems from accessing the WAN subnet.

Thanks, you are correct, but it still fails after changing it, for the reasons that Bob stated.

As Bob said, the proxies will bypass the PF rules, but you need the PF rule blocking traffic which does not go through the proxy (non-web traffic, and traffic for hosts listed in the skiplist)

You will need to have PF rules for everything in the skiplist, the allowed hosts may already be covered if you have a rule allowing web browsing from the LAN.  The lab hosts you are trying to block will need that block rule, and it will need to be above the allow rule(s).

The Oracle has spoken!  Jack usually knows what people have.

Wyo, Jack's assuming that you have a general rule like 'Internal (Network) -> Web Surfing -> Internet : Allow', and that would mean you'd need a Block rule for the lab computers above it.  If you don't have a general Allow rule, then you just need a rule like '{group of hosts/networks to allow} -> Web Surfing -> Internet : Allow'.

Cheers - Bob

Ok, I think I've got it. To summarize, if I put the disallowed static IP addresses into the skiplist and uncheck 'allow HTTP traffic for listed hosts/nets' that disallows HTTP traffic from those addresses and allows from all other IP addresses on the internal network. If I do that do I still need a general permit web surfing PF rule? 

I do have a general allow web surfing rule, and FTP is permitted only for my workstation. If the above disallows HTTP for the lab IP addresses, then I should be good because Skype and a couple other applications are only allowed to a 'privleged' group of static IP addresses and IM/P2P, etc are blocked for all in Web Security - HTTP/S - URL Filtering.

The 9 items that I had added to the skip list were there because ASG would put up the time out banner or the web sites would never come up when going through the proxy. They were added to the skip list by suggestion from ASG tech support. Will changing the skip list sense cause this problem to go away?

When you uncheck 'allow HTTP traffic for listed hosts/nets', the packet filter rule list is consulted.  If you explicitly allow the traffic with a PF rule, it passes, if not, it doesn't.  Since, as Jack correctly foresaw, you have a general allo rule, you will need the corrected drop rule as Jack recommended.

Cheers - Bob

When I first deployed this system, the skip list was disabled and it was running with just the general HTTP PF rule and transparent proxy. We have a high powered consultant that comes every few months that uses Fusemail and Mailanyone.net for email and these would not work through ASG for some reason - timeouts, failure to display the web pages. We also have a few other websites that are needed by internal employees that had similar issues. I tried using PF rules to address the problem, which of course did not work. I was advised by ASG tech support to enable and use the skip list and that solved the problem. They said that 'some websites just don't work through the proxy, and we don't know why.'

So, if I reverse the sense of the skip list as you are advising, how do I get these websites to work through ASG when I already have a 'permit all' HTTP rule?

I tried your suggestions  and while it does now block the static IP from getting to the internet, I am back to the original problem that cause me to use the skip list to bypass the transparent proxy. When trying to go to one of the problem websites (no longer in the skip list), I get a page with the Astaro banner on it that says:

An error occurred while handling your request
While trying to retrieve the URL:  Wyoming Department of Workforce Services
Error message:  Connection to server timed out