Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5877 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Time-based access control [8.102]

bob_p
I have run into an interesting issue, and I am hoping that I can get some help figuring out...

My son has an iPod Touch, and I want to control where he goes on the internet with the URL filtering.  I also don't want him staying up all night on the darn thing, so I want to control his network access after 9PM (as in no internet access at all).

So I do the following:
1) Define a time period called "Daytime" from 8AM to 9PM.
2) Create a static DHCP reservation in my home server for the iPod
3) Create an object in ASG using the assigned IP
4) Enable and configure the URL proxy
5) Create two firewall rules - the first says if in "Daytime" allow access to permitted applications, the second is drop-all from the iPod

Now here's where it gets interesting.  If I enable the URL filter in transparent mode, he can get to the internet outside of the "Daytime" period because the URL filter seems to override the firewall rules (!!!!!!).  If I disable the proxy, the traffic is immediately dropped.

So, how do I pull this off, to keep my kids offline during certain time periods, and safe when they are?

Any help is appreciated!

Bob


This thread was automatically locked due to age.
  • 0
    Proxy actions always supersede packet filter actions (proxies create their own hidden packet filter rules with a higher precedence to allow traffic).  What you want to do is setup HTTP/S proxy profiles.  Filter Assignments can be defined for time based events.
  • 0
    In going through the config it appears as though filter assignments can only be assigned to users, not devices - what am I missing?  Is it same to assume I can leave that field in the assignments section blank, and it will apply to all, then attach the assignment to the filter profile?
  • 0
    Alright, I think I got it - although a readback would be helpful.

    1) I created a time-based definition from 8AM to 9PM
    2) I created a filter assignment that used this time slice and set to "default proxy action"
    3) Created a new proxy profile with the iPod as the source, and assigned the filter assignment to it from #2, and set the fall-back to "block".

    In theory, if I followed the flow-chart on the interface correctly, this should allow them access only from 8A - 9P - right?

    Thanks, I am sure this is something that comes naturally to you more experienced folks, but I am under a time crunch and the help so far has been awesome - thanks!

    Bob
  • 0
    Exactly, Bob - just leave the Users/Groups empty and create the profile for the single IP above any other Profiles that apply to the subnet in which that IP resides.

    Cheers - Bob
    PS Man, you're fast! [;)]
  • 0
    LOL Thanks [:)]  Now all I need to do is figure out VPN on demand on the iPhone - with the caveat being that my network is a 10.10.x network, and the one I am connecting to has the same subnet address, just behind a different ASG box...

    Bob
  • 0
    The sooner you break down and change your local network to something else, the happier your Internet life will be! [;)]

    We normally recommend subnets in 192.168.0.0/16 for homes and in 172.16.0.0/12 for businesses.  Organizations like IBM and AT&T need the 10.0.0.0/8 range. I occasionally see packets from 10. addresses showing up on the external interface connected to our cable modem (Cox) - they shouldn't, but not every router tech gets it right every time!

    Cheers - Bob
  • 0
    Glad you got it figured out Bob...and Bob.  [:P]  Sorry I disappeared.  Had to go grocery shopping.
  • 0 in reply to Scott_Klassen
    A couple of things to be aware of
    1/. streaming video/audio is not affected by proxy time slots
    2/. existing connections are not dropped only new connections are blocked

    I am not sure why Astaro changed item 2, a much earlier version used to drop existing connections. I can't remember whether I have submitted a feature request for this?

    Ian
  • 0
    I am not sure why Astaro changed item 2, a much earlier version used to drop existing connections
    Was this when the proxy was Squid or after Astaro coded its' own proxy from scratch?
  • 0 in reply to Scott_Klassen
    Not sure when the change occurred. I have logged it as a bug in a number of recent betas, the post is either ignored or declared not a bug.

    When I first started using ASG (around v5) the feature wasn't available, sometime shortly after that it was implemented and then for v6 and the earlier v7 it worked.
    The packet filter function works and drops existing connections, but not the proxy. I don't think that streaming was ever affected by time controls.

    Just a couple of inconsistencies with the blocking feature in the http.

    Then there are the social media controls (applications) which not time manageable, nor are any of the other proxies eg socks to block skype.

    I do recognise that these short comings mainly affect small business and home users because corporate users have AD controls if they so wish.

    Ian