Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 3825 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to block internal website from guest users

stephang_01
We have a wireless network for guests that does not require a login.  The problem is that while they cannot access network resources, by virtue of having an internal IP address, they can see our internal website.

I set up two rules that I thought would take care of this.  The first rule allowed HTTP to our internal website from the group "Authenticated Domain Users".  The second rule blocked everyone from the website.

The problem is that it doesn't work.  I suspect I don't understand how the Authenticated Domain Users group works.

Any suggestions?


This thread was automatically locked due to age.
  • 0
    Hi, Stephan, and welcome to participation in the User BB!

    Click on my name beside Cyrano and email me a request for a document several of us here created: Configure HTTP Proxy for a Network of Guests - V8.3.  It also is available in Deutsch thanks to Hallowach.

    Cheers - Bob
  • 0
    I got a response from stephang after he read through the guide: "Thank you, Bob.  However, your solution requires a separate Guest network - that's what I am trying to get away from.  Any other ideas? Let me ask a different question.  I assume that the Authenticated Domain Users group fetches credentials in real time.  Thus, I could block users who do NOT have credentials.  However, it doesn't seem to be doing that.  Is my understanding incorrect?"

    In every case, my customers have either Astaro Wireless Security, or they have their wireless on a separate interface and their wireless router is configured as a switch with the WAN port unused and the Astaro plugged into a LAN port.  DHCP is turned off in the wireless router.

    If the wireless network can't be given its own interface on the Astaro, then the most-secure thing is to use the wireless router in the "regular" way (Astaro plugged into the WAN port) so that those using it get addresses in the 192.168.x.0/24 range from its DHCP server, their traffic is NATted and they are assigned only public DNS servers.  You then can null-route any traffic to internal IPs in the wireless router.  The only downside for the Guests is that their IPsec-based VPN clients won't work because of the double NATting.

    If Web Security is in a Transparent mode, you'll want to set a static IP (like 172.20.30.254) on the WAN port of the wireless router and be sure that that's excluded from access to the web proxy.  I like the static IP, too, so that you can '{static IP of router} -> Internet : SNAT from External [Guest] (Address)'.  That is, all traffic from the wireless network uses a different public IP (an Additional Address on the External interface) from your primary IP for web, mail, etc.

    Did that work?

    Cheers - Bob
  • 0
    OK, I got another note from stephang:
    Regarding the Astaro, unless I am missing something (a great possibility), I don’t think it solves my problem.  In a nutshell, I have one wireless network.  Users and Guests both use the same network.  If Users need a resource, such as a shared folder, then they will be prompted for login credentials when they try to access it.  Guests, of course, will not have credentials and thus will not be able to access anything.  The only drawback is the intranet, which does not require a login.  Guests should not be able to bring it up.

    Now, the only way I can think of to differentiate Guests and Users is that Users will have authenticated against our Active Directory and Guests will have no such credentials.  I am assuming the Astaro “knows” this and thus I can form a rule, but it doesn’t seem to work.  That’s my problem.


    Unfortunately, there is no SSO for anything other than the HTTP Proxy in AD-SSO mode.  The Astaro doesn't know if a particular IP is being used by someone signed in to you domain.  You might want to talk with your reseller about adding Astaro Wireless Security and purchasing some Astaro Access Points.  That certainly would be the easiest solution.

    I think the best you can do is manually assign fixed IPs to the MAC addresses of the wired and wireless devices of the users.  I'd use the wireless router in the wireless switch mode described above and assign IPs with your internal DHCP server.  Have the guests assigned IPs in the 128-254 range and users in a range like 20-127.

    Then, you can make separate firewall rules for the ***.***.***.0/25 subnet, and include it in the 'Allowed Networks' for Web Security instead of the whole /24 subnet.  For the ***.***.***.128/25 subnet, use the Additional Address trick above to have those internet accesses come from an IP other than your main one and block it with a firewall rule in your internal web server.

    Cheers - Bob
    PS Another alternative comes to mind that might be easier.  Use the Wireless router in router mode, block its WAN IP (in the ***.***.***.0/24 subnet) in the internal webserver and have your users login to the PPTP VPN on the Astaro.  Add "VPN Pool (PPTP)" to 'Allowed Networks' for Web Security and create a Firewall Allow rule for it to access your LAN.