Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 1364 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Guide scheduled access for multiple Active Directory groups, same subnet

niagarasys
I have a location that's moving away from an Untangle IC inline filter to a new Sophos UTM product but one area that's giving me a great deal of difficulty is scheduling the hours that Active Directory users can engage in certain tasks, certain bandwidths, and no access at all. 

With the Untangle programming it was pretty easy to create granular packet shaping rules and web filtering rules in the same area but I'm struggling with Sophos' rule system and I'm behind schedule in implementing it. 

Does anyone have a guide they'd suggest that breaks it down in a simpler way that would allow me to urgently implement time of day rules? 

One example of how we had things configured with the Untangle unit is one Active Directory group of people on one subnet could basically do whatever they wanted 24/7 but another Active Directory group on the same subnet could only do certain things during this time1, certain things during this time2, certain things during this time3, and certain things during time4, and during time 2 and 3 we'd have packets shaped a certain way, and then no internet during time 5. 

I thought about calling support but sometimes our communications don't entirely jive.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    It's fairly straightforward once you get to the point where you can ask yourself non-Untangle questions. [;)]

    You will want to start with my guide on the Sophos KnowledgeBase.

    The IPs/subnets listed in 'Allowed networks' along with the mode (Standard or Transparent) determine whether an access qualifies for a specific Profile.  The Profiles are processed in order with the 'Global' one considered last.  If an access qualifies for a specific Profile, no further Profiles are considered.  For an IP/subnet with both a Standard and Transparent Profile, the Standard one must come first.

    Inside a Profile, different Filter Actions are assigned to different groups by Policies.  Policies are processed in order.  Once an access qualifies for a Policy, no further Policies are considered.  Without authentication, you may have only a single Policy in a Profile, and 'Users/Groups' in the Policy must be left empty.

    In general, you want the more-specific objects above the more-general ones.  The Profile for 172.21.1.0/24 should be above the one for 172.21..0.0/16.  If you have a Policy that allows access to Facebook from noon-1PM (Lunchtime) and another one that blocks facebook from 8AM-5PM (Workday), the lunchtime Policy must be above the Workday policy.

    Typically, you will not want to have a user in more than one Backend Group for Web Filtering.  If you start with that thought, the decisions you make about the structure of your configuration should follow fairly naturally.

    Cheers - Bob