Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 3825 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to block internal website from guest users

stephang_01
We have a wireless network for guests that does not require a login.  The problem is that while they cannot access network resources, by virtue of having an internal IP address, they can see our internal website.

I set up two rules that I thought would take care of this.  The first rule allowed HTTP to our internal website from the group "Authenticated Domain Users".  The second rule blocked everyone from the website.

The problem is that it doesn't work.  I suspect I don't understand how the Authenticated Domain Users group works.

Any suggestions?


This thread was automatically locked due to age.
Parents
  • 0
    OK, I got another note from stephang:
    Regarding the Astaro, unless I am missing something (a great possibility), I don’t think it solves my problem.  In a nutshell, I have one wireless network.  Users and Guests both use the same network.  If Users need a resource, such as a shared folder, then they will be prompted for login credentials when they try to access it.  Guests, of course, will not have credentials and thus will not be able to access anything.  The only drawback is the intranet, which does not require a login.  Guests should not be able to bring it up.

    Now, the only way I can think of to differentiate Guests and Users is that Users will have authenticated against our Active Directory and Guests will have no such credentials.  I am assuming the Astaro “knows” this and thus I can form a rule, but it doesn’t seem to work.  That’s my problem.


    Unfortunately, there is no SSO for anything other than the HTTP Proxy in AD-SSO mode.  The Astaro doesn't know if a particular IP is being used by someone signed in to you domain.  You might want to talk with your reseller about adding Astaro Wireless Security and purchasing some Astaro Access Points.  That certainly would be the easiest solution.

    I think the best you can do is manually assign fixed IPs to the MAC addresses of the wired and wireless devices of the users.  I'd use the wireless router in the wireless switch mode described above and assign IPs with your internal DHCP server.  Have the guests assigned IPs in the 128-254 range and users in a range like 20-127.

    Then, you can make separate firewall rules for the ***.***.***.0/25 subnet, and include it in the 'Allowed Networks' for Web Security instead of the whole /24 subnet.  For the ***.***.***.128/25 subnet, use the Additional Address trick above to have those internet accesses come from an IP other than your main one and block it with a firewall rule in your internal web server.

    Cheers - Bob
    PS Another alternative comes to mind that might be easier.  Use the Wireless router in router mode, block its WAN IP (in the ***.***.***.0/24 subnet) in the internal webserver and have your users login to the PPTP VPN on the Astaro.  Add "VPN Pool (PPTP)" to 'Allowed Networks' for Web Security and create a Firewall Allow rule for it to access your LAN.
Reply
  • 0
    OK, I got another note from stephang:
    Regarding the Astaro, unless I am missing something (a great possibility), I don’t think it solves my problem.  In a nutshell, I have one wireless network.  Users and Guests both use the same network.  If Users need a resource, such as a shared folder, then they will be prompted for login credentials when they try to access it.  Guests, of course, will not have credentials and thus will not be able to access anything.  The only drawback is the intranet, which does not require a login.  Guests should not be able to bring it up.

    Now, the only way I can think of to differentiate Guests and Users is that Users will have authenticated against our Active Directory and Guests will have no such credentials.  I am assuming the Astaro “knows” this and thus I can form a rule, but it doesn’t seem to work.  That’s my problem.


    Unfortunately, there is no SSO for anything other than the HTTP Proxy in AD-SSO mode.  The Astaro doesn't know if a particular IP is being used by someone signed in to you domain.  You might want to talk with your reseller about adding Astaro Wireless Security and purchasing some Astaro Access Points.  That certainly would be the easiest solution.

    I think the best you can do is manually assign fixed IPs to the MAC addresses of the wired and wireless devices of the users.  I'd use the wireless router in the wireless switch mode described above and assign IPs with your internal DHCP server.  Have the guests assigned IPs in the 128-254 range and users in a range like 20-127.

    Then, you can make separate firewall rules for the ***.***.***.0/25 subnet, and include it in the 'Allowed Networks' for Web Security instead of the whole /24 subnet.  For the ***.***.***.128/25 subnet, use the Additional Address trick above to have those internet accesses come from an IP other than your main one and block it with a firewall rule in your internal web server.

    Cheers - Bob
    PS Another alternative comes to mind that might be easier.  Use the Wireless router in router mode, block its WAN IP (in the ***.***.***.0/24 subnet) in the internal webserver and have your users login to the PPTP VPN on the Astaro.  Add "VPN Pool (PPTP)" to 'Allowed Networks' for Web Security and create a Firewall Allow rule for it to access your LAN.
Children
No Data