Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 54252 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

block internet for specific internal IP addresses

wyocowboy
I am using transparent HTTP proxy on ASG 7.505 in a production/commercial setting and am trying to block certain internal computers from getting to the internet for ftp, http, etc. These machines have static IP addresses within the ASG internal network subnet, but are in a lab environment and must be blocked from all internet traffic. 

I tried a packet filter at the top of the list with the specific IP address of one computer = source, service = any, dest = external WAN network, but it is still able to get to web sites. 

What am I doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    The Oracle has spoken!  Jack usually knows what people have.

    Wyo, Jack's assuming that you have a general rule like 'Internal (Network) -> Web Surfing -> Internet : Allow', and that would mean you'd need a Block rule for the lab computers above it.  If you don't have a general Allow rule, then you just need a rule like '{group of hosts/networks to allow} -> Web Surfing -> Internet : Allow'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok, I think I've got it. To summarize, if I put the disallowed static IP addresses into the skiplist and uncheck 'allow HTTP traffic for listed hosts/nets' that disallows HTTP traffic from those addresses and allows from all other IP addresses on the internal network. If I do that do I still need a general permit web surfing PF rule? 

    I do have a general allow web surfing rule, and FTP is permitted only for my workstation. If the above disallows HTTP for the lab IP addresses, then I should be good because Skype and a couple other applications are only allowed to a 'privleged' group of static IP addresses and IM/P2P, etc are blocked for all in Web Security - HTTP/S - URL Filtering.

    The 9 items that I had added to the skip list were there because ASG would put up the time out banner or the web sites would never come up when going through the proxy. They were added to the skip list by suggestion from ASG tech support. Will changing the skip list sense cause this problem to go away?
Reply
  • 0 in reply to BAlfson
    Ok, I think I've got it. To summarize, if I put the disallowed static IP addresses into the skiplist and uncheck 'allow HTTP traffic for listed hosts/nets' that disallows HTTP traffic from those addresses and allows from all other IP addresses on the internal network. If I do that do I still need a general permit web surfing PF rule? 

    I do have a general allow web surfing rule, and FTP is permitted only for my workstation. If the above disallows HTTP for the lab IP addresses, then I should be good because Skype and a couple other applications are only allowed to a 'privleged' group of static IP addresses and IM/P2P, etc are blocked for all in Web Security - HTTP/S - URL Filtering.

    The 9 items that I had added to the skip list were there because ASG would put up the time out banner or the web sites would never come up when going through the proxy. They were added to the skip list by suggestion from ASG tech support. Will changing the skip list sense cause this problem to go away?
Children
No Data