Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 1 subscriber
  • Views 11718 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot get content filter working

FreudianSlip
Hi all,

The end of my tether has been reached.  I'm using a licensed home version of 7.001 all patched up.

I have 3 users, me, my girlfriend and my daughter.  
I have 3 different proxy profiles, allow_all, standard and children.  
I have configured the relevant filter actions and filter assignments
The Children profile is #1 in the list, with standard being 2nd, and allow_all last
All profiles are set to use basic authentication
Global proxy operation mode is set to standard

On starting a browser, I am prompted for a username & password.

These are verified and I can access websites.

The problem is, if I log in as my daughter, which has Nudity explicitly denied in the policy, I can still hit ***.com, gunsandammo.com (again explicitly denied) and so on.

The other policies are operating identically.

I have disabled the web surfing packet filter to ensure all browsing goes through the proxy.

I have tried many different combinations of settings and read the online help so much my eyes hurt - but I must have missed something.

Is there anything else I should have enabled/checked?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Hi FreudianSlip

    Did this config work under v6?
  • 0 in reply to JeremySherriff
    FreudianSlip.
    here is the catch, took me a while to find it.The standard http profile takes precedence over user configured profiles.

    You need to make sure that there are no allowed users/IP etc in the standard http profile and only in your configured profiles. 

    I know it is not very clear and if you need to I will re-do the process with menu names etc.

    Ian M[[:)]][:S][[:)]]
  • 0 in reply to FreudianSlip
    FreudianSlip,
    please re-read my post on your problem.

    You screenies show exactly what I was advising as an incorrect configuration.

    You have your network in the general http proxy which is allowing everything through, remove it.

    Ian M
  • 0 in reply to RFCat_vk_01
    How about this for strange.

    I remove the entry (I'm sure I did before!), click Apply - all looks good.

    I move off the page, and back onto it, and the entry is back?

    This is probably the cause of my pain - anyone else seen this before?

    Here is a video of it (~6mb) : www.wmcomputing.co.uk/astaro_pics/astaro_vid1.avi
  • 0 in reply to FreudianSlip
    Hi FreudianSlip,

    the behavior I see in the video you posted is intended. It does not make sense to switch the HTTP Proxy on but not allow any client networks. So this is not the problem in your case.

    I will try to reproduce your setup to fully understand what you are doing and post again when I find out anything.

    Edit:

    Sigh, I still didn't get it. But now have new information: Please do not use more than one profile matching the same client network (you configured all of your three profiles to match the Internal Network). Instead, make only one Proxy Profile matching the Internal Network, then activate all three filter assignments (children, standard and allow_all) for this single Profile. Sort the activated assignments in a way that the most restrictive comes first and the least restrictive last.
    Please let me know if it works like you expected when you configured it that way.
  • 0 in reply to mority
    hi there all, 

    Let me shade some light into the dark.

    This issue is a mixture of some small configuraiton error/missunderstanding and a bug in the profile sort order, this gives us total confusion.

    Config Missunderstanding
    If am HTTP request gets processed, the proxy first determains which 'Proxy Profile' is responsible for this request. This decission is purly done based on the SRC IP of the request, mapped with the 'allowed networks' of the 'Proxy Profiles'.
    The order is as followed:
    - Proxy Profile, Position 1
    - Proxy Profile, Position 2
    - Proxy Profile, Position 3
    - Default Proxy Profile (from Web Security > HTTP) 

    The first profile which is found that is suitable for this SRC IP of the request is used and no other profile is looked at.

    Therefore it does not make sense to have two profiles with the exact same network 'Internal (network)', as the second one is never evaluated.
    A possible way to use overlapping profiles is explained below.

    But how can i assign different Actions to differnet users?
    Good question, this is what the Filter Assignments are for.
    You can assign different actions, based on time and/or users/groups.
    This users can either be local or remote authenticated. The groups can either be local groups or mapped to groups inside Active Directory or eDirectory groups.

    What happens if no filter assignment matches?
    This is where the fallback Action comes into play.
    If no filter assignment matches, because
    - the request occures outside the timerange of the assignment
    - the request comes from an authenticated user which is not handled in any assignment (failed authentication gets blocked always)
    - ...
    than the fallback action is applied to this request. Depending on the security policy of your company, this can either be, 'Allow All' or 'Block All' or 'Allow only Safe sites'.

     When does the 'Default Profile' get evaluated?
    As shown on the overview graph in 'HTTP Profiles', the 'default profile' gets always evaluated as the last profiles AFTER the HTTP Profiles.
    Normally there are no HTTP Profile, than the 'Default Profile' is only one used.

     What is the bug you are talking about?
    If you have more than one 'Proxy Profile', than the sort order of these profiles is currently random, even if the GUI tell's you different.
    But this is only relevant, if you have more than one proxy profile AND two of these profiles have overlapping network segments.
    Example:
    - Profile 1, Network: 192.168.3.10/32, Action: allow all
    - Profile 2, Network: 192.168.3.0/24, Action: allow some, no nudity

    in this case, Profile 1 should be evaluated before Profile 2, so the ip 192.168.3.10 gets a special treatment.
    As this order is now random, it sometimes can work and sometimes not.
    This issue will be fixed in the next up2date.

    If all profiles have non overlapping network segments, which we strongly suggest, than this is not relevant, as always the proper profile is selected.

    Why do i need multiple profiles for different networks?
    With this you can run the proxy in different modes, for different network segments. In ASG V6, it was only possible to use the proxy in one mode (Standard, Transparent, Basic Authentication, eDirectory SSO, Active Directory SSO).

    We have extended this in V7, so that it is now possible that 'Sales Network' uses eDirectory SSO, 'Guest Network' uses Transparent Mode, 'R&D Network' uses Standard Mode.

    If you want to do that, you need to configure a single 'Proxy Profile' for each Network. You than can use the 'Filter Assignments' to map different Content Filter Actions to the different Users/Groups and/or to different Times.

    So you can configure that your kids are only allowed to surf from 1pm-9pm, and from 4pm-6pm, they are only allowed to access school relevant websites.

    I hope this explains the usage of the HTTP Profiles better.

    thanks for using our product.
    Best Regards
    Gert
  • 0 in reply to Gert Hansen
    Fantastic - worked a treat.

    All I had to do was remove 2 of the proxy profiles (didn't matter which as they were all using the internal network) and then change the filter assignments to:

    Children_Filter
    Standard_Filter
    Allow_all_FilterAssignment
    Default content filter profile assignment

    Many thanks to all that contributed, I can rest a little easier knowing my little girl is at least a bit safer than yesterday :-)
  • 0 in reply to FreudianSlip
    Nope, seriously, direct connection to the internet (using firefox 2.0.0.1), blank page.

    Tried with ie.7 - worked fine?

    I'm gonna put these gremlins to bed for the night, consult the oracle that is Mr Jameson, destroy a couple o grey cells and wake refreshed.

    Thanks for your time, and I'll keep you updated.


    This was of course due to the IPS falsely reporting this as a problem with FF.
  • 0 in reply to FreudianSlip
    FreudianSlip,

    Did you ever get this working?

    --Scott
  • 0 in reply to ScottG
    Scott,
    If you're having difficulties, have you tried 'management > system settings > reset configuration or passwords > run factory reset now' and reconfiguring the system ?
    After loads of trouble with the http proxy / profiles, I did a factory reset, and re-entered my config, exactly as it was previously. The only difference is that everything now works perfectly well!

    regards,

    Alex
Reply
  • 0 in reply to ScottG
    Scott,
    If you're having difficulties, have you tried 'management > system settings > reset configuration or passwords > run factory reset now' and reconfiguring the system ?
    After loads of trouble with the http proxy / profiles, I did a factory reset, and re-entered my config, exactly as it was previously. The only difference is that everything now works perfectly well!

    regards,

    Alex
Children
  • 0 in reply to AlexE
    Gert,
    that explanation is better than the ASG WEB page. Now I understand where my problem is. I have two profiles, an allow and a disallow,but only the allow is needed and the default will drop everything else.

    Further, I think you are saying once you start to use a profile, you must use a profile for everyone eg you can't have the generic proxy which allows a selected (by network) group and a profiled group.

    Now that has identified a bug with the time managed component of my profiles. The time management doesn't work, all time managed profiles and assignments drop straight through to default. I have tried a time managed profile of Mon-Sun 0000-2359 and it didn't work, but change it to "allow" and it works fine.

    The time managed Packet filter rules work fine.

    Ian M