Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4729 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking iPads

GeekOrGuru
I've run across something interesting and can't figure it out for the life of me.  I'm trying to block iPad access or really only allow access during certain times.  No matter what I do I can still get around it with the iPad, but everything else functions as expected.

At first I thought it might be the QoS rules...so I disabled them...no change.  Then I thought there might be something else in the firewall rules that was firing first and allowing access...but nothing.

I can set my first OUTBOUND rule to block everything from the internal LAN.  Check for connectivity from a desktop...everything is blocked as expected.  Check for connectivity from an iPad...still have access.

And yes before you ask...I have verified that the iPad is indeed connecting to our network and can see it's traffic in the firewall logs.

Ironically...I can see 443 traffic being blocked but everything else appears to pass.  And, content filtering is working for iPad traffic as well.

Could someone please enlighten a poor soul!


This thread was automatically locked due to age.
Parents
  • 0
    From the iPad, what services are still allowed when you impose the block outbound all rule on the Internal interface?

    If content filtering is still working, then the iPads are hitting the web proxy.  Not 100% sure if Sophos/Astaro works the same way, but when enabling a proxy in transparent mode you don't need a firewall rule to access it and use it as a gateway because the connection is only persistent between your client and the firewall itself.  This is the way most other UTM/Linux based firewalls work that employ proxying.  Because the machine is redirected to the proxy service on the firewall, it is not governed by the USR_FORWARD chain.  It's governed by the USR_INPUT chain.  Try and remove the Internal LAN from being allowed to use the HTTP proxy in Web Filtering (or just diable the proxy altogether) and impose your Internal blocking rule again.  I doubt iPads will be able to get out... along with everything else.  Work your way back from there.

    Still, if I am correct, unless your desktops are exempted from using the proxy or they aren't set to "Automatically detect proxy settings" they should technically still be able to access HTTP/HTTPS sites as well regardless of the outbound block rule.
  • 0 in reply to ChristopherRuh
    ruhllatio...I'm not quite sure what you mean by "services" allowed on the iPad.

    You are correct in the fact that if I disable content filtering then the firewall block rule functions as expected.

    So, my questions are:
    1) With content filtering enabled and the block all traffic in place...why are other network devices blocked while the iPad is still allowed?
    2) Can the firewall and content filtering not be used simultaneously for the same traffic?  In other words...is it one or the other?

    We ultimately need to be able to utilize content filtering, but limit access from certain devices based on schedules.  It's sounding like this is not possible...is that correct?
Reply
  • 0 in reply to ChristopherRuh
    ruhllatio...I'm not quite sure what you mean by "services" allowed on the iPad.

    You are correct in the fact that if I disable content filtering then the firewall block rule functions as expected.

    So, my questions are:
    1) With content filtering enabled and the block all traffic in place...why are other network devices blocked while the iPad is still allowed?
    2) Can the firewall and content filtering not be used simultaneously for the same traffic?  In other words...is it one or the other?

    We ultimately need to be able to utilize content filtering, but limit access from certain devices based on schedules.  It's sounding like this is not possible...is that correct?
Children
No Data