block internet for specific internal IP addresses

Because of the issue where certain websites will not work through the transparent HTTP proxy, I had to go back to enabling the skip list and putting my 9 websites back in. There seems to be an implementation error here - if the order of precedence is DNATs, Proxies, Packet Filters and Static Routes, and SNATs, then putting something into the HTTP proxy skip list should cause it to then fall through to the packet filter, but doing so in fact also bypasses the packet filter.

Do any of the Astaro developers monitor this forum, or should I submit a request directly to Astaro?

In the meantime, since there were just a handful of machines, I edited the hosts file on each to disable web browsing.

Putting the sites to be allowed in the skiplist, and creating packetfilter rules allowing access to those sites will work, we do it all the time.  There may be an issue with the sequence of of rules.

The key is you need PF rules allowing the problem sites, and rules blocking the ones you want to block- and getting the sequence right.

And yes, there are plenty of us from Astaro here, (including some of the developers).

Once I put the problematic web sites in the skip list, they work with the general PF HTTP rule that was created by the installation wizard, so I have not added any PF rules specific to those. I don't want to block some sites for the lab computer, I want to block all sites.

The rule that was intended to block the lab computer from the internet was put above all other rules, at position 1. 

Based on the precedence (DNATs, Proxies, Packet Filters and Static Routes, SNATs) if I put the IP address of the lab computer in the skip list and the list is checked, then I would expect it to bypass the transparent HTTP proxy and then hit the PF rule that I have at the top of the list, but it seems to bypass it.

This rule is set up as: 

position 1
source = (static IP of lab computer)
service = any
destination = internet
action = drop

if I put the IP address of the lab computer in the skip list and the list is checked,

That confuses me a bit.  The checkbox for the skip list should not be used - that will caused your packet filter rules to not be considered.  Once you get this to work, you'll see that it was easier than you imagined.

After your drop rule, you need an allow rule for the sites you wwant to allow, but that should be there already from the original installation.

Cheers - Bob

That is precisely the issue. In my environment, I cannot operate with the checkbox unchecked because this causes the 9 websites to stop working through the ASG transparent HTTP proxy. I am using it at the suggestion of ASG tech support.

My point about precedence is that if it really does work like you say (DNATs, Proxies, Packet Filters and Static Routes, SNATs) skipping the HTTP proxy should cause it to then go to the packet filter, but it doesn't. It is acting as though it has satisfied a rule and does not need to consider any others.

Based on my past experience doing system QA conformance, regression, and peneration testing on routers and other such networking equipment for Nortel and others I would consider this a design flaw. Skipping one layer in the precedence should not cause it to skip subsequent layers. In this case, skipping the transparent proxy appears to completely disable any subsequent security on that traffic.

The bottom line for me is that because these 9 websites will not work through the HTTP transparent proxy, I cannot use your suggestions to block the lab computers from the internet.

I'm not sure what Jack and I have missed, but what we are trying to explain isn't so much a "suggestion" as it is the way to accomplish what you want when in transparent mode and is in place in hundreds of customer sites.  At this point, it seems like you should submit a description of your problem to Astaro tech support, and ask them to look inside your box.

Cheers - Bob

I already have a 'permit all' general HTTP PF rule that was created by the installation wizard, and even with this at the top, those 9 websites will not work with the transparent proxy enabled, unless I put them in the skip list.

What sort of PF rule would I have to have in place so that these websites would work, if I uncheck the skip list?

That should work.  Like I said, there's something that we're not seeing, and someone else just needs to look at your box to see what it is we failed to ask you about.

If you want to debug this, then we should look at the 'Content Filter (HTTP)' log to be sure the traffic isn't being captured and stopped by the Proxy.  If it does show up in this log, please show a few lines so we can see if there's anything to see.

Otherwise, the traffic must be going through the packet filter, so look there to see if any of the desired traffic is blocked.  If so, please show lines from the full (not the "Live") log.  Also, you might glance in the Intrusion Prevention log to confirm that traffic isn't being blocked there.

Cheers - Bob

I guess all you need to do is to simply remove all rules and regulations for Firefox from the permissions list the ones seen in the firewall. After that, allow your firewall to ask once again for the permission in order to get a complete unrestricted access to the web for Firefox and the then allow updating the plugin and other things. I guess this can sort out this problem.
check SKEEBLOO a brisk take a gander at whatever is left of the mechanisms that emphasized on our rundown. You'll get to see the determinations and costs and score of the items.

http://www.truetime-applications.com/