Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4723 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking iPads

GeekOrGuru
I've run across something interesting and can't figure it out for the life of me.  I'm trying to block iPad access or really only allow access during certain times.  No matter what I do I can still get around it with the iPad, but everything else functions as expected.

At first I thought it might be the QoS rules...so I disabled them...no change.  Then I thought there might be something else in the firewall rules that was firing first and allowing access...but nothing.

I can set my first OUTBOUND rule to block everything from the internal LAN.  Check for connectivity from a desktop...everything is blocked as expected.  Check for connectivity from an iPad...still have access.

And yes before you ask...I have verified that the iPad is indeed connecting to our network and can see it's traffic in the firewall logs.

Ironically...I can see 443 traffic being blocked but everything else appears to pass.  And, content filtering is working for iPad traffic as well.

Could someone please enlighten a poor soul!


This thread was automatically locked due to age.
  • 0
    From the iPad, what services are still allowed when you impose the block outbound all rule on the Internal interface?

    If content filtering is still working, then the iPads are hitting the web proxy.  Not 100% sure if Sophos/Astaro works the same way, but when enabling a proxy in transparent mode you don't need a firewall rule to access it and use it as a gateway because the connection is only persistent between your client and the firewall itself.  This is the way most other UTM/Linux based firewalls work that employ proxying.  Because the machine is redirected to the proxy service on the firewall, it is not governed by the USR_FORWARD chain.  It's governed by the USR_INPUT chain.  Try and remove the Internal LAN from being allowed to use the HTTP proxy in Web Filtering (or just diable the proxy altogether) and impose your Internal blocking rule again.  I doubt iPads will be able to get out... along with everything else.  Work your way back from there.

    Still, if I am correct, unless your desktops are exempted from using the proxy or they aren't set to "Automatically detect proxy settings" they should technically still be able to access HTTP/HTTPS sites as well regardless of the outbound block rule.
  • 0 in reply to ChristopherRuh
    ruhllatio...I'm not quite sure what you mean by "services" allowed on the iPad.

    You are correct in the fact that if I disable content filtering then the firewall block rule functions as expected.

    So, my questions are:
    1) With content filtering enabled and the block all traffic in place...why are other network devices blocked while the iPad is still allowed?
    2) Can the firewall and content filtering not be used simultaneously for the same traffic?  In other words...is it one or the other?

    We ultimately need to be able to utilize content filtering, but limit access from certain devices based on schedules.  It's sounding like this is not possible...is that correct?
  • 0
    I suspect that ruhllatio solved it for you as that is the way the UTM works - "invisible" firewall rules for the Proxy allow the traffic before manual firewall rules are considered.

    If it is using the Proxy, you can start the Web Filtering Live Log and see just the iPad traffic by putting its IP address in the 'Filter' box at the top.  Post a line or two here for us to see why the traffic is allowed.

    There are several different solutions, but perhaps you could describe your situation.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    So how can we utilize content filtering but be able to block traffic based upon the time of day and device?
  • 0
    Profiles with Filter Assignments that use Time Period Defnitions usually is my first choice.  Is this a business?  Roughly how many PCs?  Do you have Active Directory?

    Cheers - Bob
  • 0 in reply to BAlfson
    Figured it out!

    We had never configured the Proxy Profiles and didn't really want to as it looked overly complicated, but after playing around with them we got it all lined out.

    Thanks for the help guys!
  • 0
    I'm having the same issue.  I've setup two firewall rules using time periods along with using static IPs for the ipads.  The rule that allows the ipads is listed first followed by a rule that blocks those IPs any time from going anywhere.  I tested it last night which should have been outside the allowed time resulting in it rolling to the next rule to block it. The YouTube app on the ipad was blocked but Safari went out with no issues.  What am I missing?  Thanks!
  • 0
    Hi, dtrask, and welcome to the User BB!

    You have Web Filtering enabled.  I suggest you set up the main section to block everything, and then, in 'Web Filtering Profiles' create a Filter Action of what you want to allow.  Use the Action in a Filter Assignment with 'Allowed Users/Groups' left empty and your Time event selected.  Use this Assignment in a new Profile for your internal network with "Default filter action" as the Fallback Action.

    Did that do what you want?

    Cheers - Bob
    PS If you want to be certain that they can't use HTTPS access to get around what you've done, change the Profile from "Transparent" to "Standard" mode.  They'll then need, in the iPads, to complete the Manual Proxy tab for your wireless network using port 8080 and the IP of the UTM on the interface attached to your wireless network.  Now, you can disable the Firewall rule created automatically during initial installation: 'Internal (Network) -> Web Surfing -> Any : Allow'.