Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 54255 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

block internet for specific internal IP addresses

wyocowboy
I am using transparent HTTP proxy on ASG 7.505 in a production/commercial setting and am trying to block certain internal computers from getting to the internet for ftp, http, etc. These machines have static IP addresses within the ASG internal network subnet, but are in a lab environment and must be blocked from all internet traffic. 

I tried a packet filter at the top of the list with the specific IP address of one computer = source, service = any, dest = external WAN network, but it is still able to get to web sites. 

What am I doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    Hey, Wyocowboy!

    In general, traffic is considered in the following order: DNATs, Proxies, Packet Filters and Static Routes, SNATs.  You can see that the traffic wasn't blocked by your packet filter rule because it already got handled by the HTTP/S Proxy before your PF rule could be considered.

    If you're in a transparent mode, you can just add a network definition for the lab IP range to the 'Transparent mode skiplist' on the 'Advanced' tab.  De-select 'Allow HTTP traffic for listed hosts/nets', and add packet filter allow rules to let traffic pass for anything you want to allow.

    If you're in a non-transparent mode, you'll need to create a profile for the range of lab IPs.

    Cheers - Bob
Reply
  • 0
    Hey, Wyocowboy!

    In general, traffic is considered in the following order: DNATs, Proxies, Packet Filters and Static Routes, SNATs.  You can see that the traffic wasn't blocked by your packet filter rule because it already got handled by the HTTP/S Proxy before your PF rule could be considered.

    If you're in a transparent mode, you can just add a network definition for the lab IP range to the 'Transparent mode skiplist' on the 'Advanced' tab.  De-select 'Allow HTTP traffic for listed hosts/nets', and add packet filter allow rules to let traffic pass for anything you want to allow.

    If you're in a non-transparent mode, you'll need to create a profile for the range of lab IPs.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Bob's pointed you in the right direction- but there's also an error in your PF rule, you will want to specify either Any or Internet for destination to be blocked.  As written, your rule will only keep the systems from accessing the WAN subnet.
  • 0 in reply to BAlfson
    Thanks, I was afraid you were going to say that. I am running transparent mode, with scan ssl and full transparent unchecked. By 'add packet filter allow rules to let traffic pass for anything you want to allow' do you mean just the items that I currently have in the transparent mode skip list (9 items), or do you mean that I have to do this for *all* traffic that I want to pass for all other computers?
  • 0 in reply to Jack Daniel
    Bob's pointed you in the right direction- but there's also an error in your PF rule, you will want to specify either Any or Internet for destination to be blocked.  As written, your rule will only keep the systems from accessing the WAN subnet.


    Thanks, you are correct, but it still fails after changing it, for the reasons that Bob stated.
  • 0 in reply to wyocowboy
    As Bob said, the proxies will bypass the PF rules, but you need the PF rule blocking traffic which does not go through the proxy (non-web traffic, and traffic for hosts listed in the skiplist)

    You will need to have PF rules for everything in the skiplist, the allowed hosts may already be covered if you have a rule allowing web browsing from the LAN.  The lab hosts you are trying to block will need that block rule, and it will need to be above the allow rule(s).