Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 54255 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

block internet for specific internal IP addresses

wyocowboy
I am using transparent HTTP proxy on ASG 7.505 in a production/commercial setting and am trying to block certain internal computers from getting to the internet for ftp, http, etc. These machines have static IP addresses within the ASG internal network subnet, but are in a lab environment and must be blocked from all internet traffic. 

I tried a packet filter at the top of the list with the specific IP address of one computer = source, service = any, dest = external WAN network, but it is still able to get to web sites. 

What am I doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    Hey, Wyocowboy!

    In general, traffic is considered in the following order: DNATs, Proxies, Packet Filters and Static Routes, SNATs.  You can see that the traffic wasn't blocked by your packet filter rule because it already got handled by the HTTP/S Proxy before your PF rule could be considered.

    If you're in a transparent mode, you can just add a network definition for the lab IP range to the 'Transparent mode skiplist' on the 'Advanced' tab.  De-select 'Allow HTTP traffic for listed hosts/nets', and add packet filter allow rules to let traffic pass for anything you want to allow.

    If you're in a non-transparent mode, you'll need to create a profile for the range of lab IPs.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks, I was afraid you were going to say that. I am running transparent mode, with scan ssl and full transparent unchecked. By 'add packet filter allow rules to let traffic pass for anything you want to allow' do you mean just the items that I currently have in the transparent mode skip list (9 items), or do you mean that I have to do this for *all* traffic that I want to pass for all other computers?
Reply
  • 0 in reply to BAlfson
    Thanks, I was afraid you were going to say that. I am running transparent mode, with scan ssl and full transparent unchecked. By 'add packet filter allow rules to let traffic pass for anything you want to allow' do you mean just the items that I currently have in the transparent mode skip list (9 items), or do you mean that I have to do this for *all* traffic that I want to pass for all other computers?
Children
No Data