Restrict access by time

Scott,
I have done this successfully in v6, but it took me a couple of attempts to get it to work in v7.

1/. you need to create each of your kids pcs as a network
2/. you need to create your pc as a network definition
3/. in the general http profile you need to remove all networks
4/. add your own
5/. in the HTTP profile (second one) you need to create the access
6/. you need to create entries for each time range you want to allow or restrict access
7/. you then assign the profiles to a time definition either allowing or blocking.

I ended up with a series of allowed time slots defaulting to a generic block.

In my opinion the v7 http profiule functionality is no where near as good as the v6.

You can't allow sites as well as block others. Maybe there is a bug in the http proxy that doesn't block or allow correctly. I lost some access control under v7 eg allowing specific sites. The block doesn't work the way I would expect it to.

Ian M

I more than likely have generalised some of the steps.

You should be able to have your kids login to the ASG, I haven't tried this, rather than set their PCs up in network definitions.

Ian,

Thanks for the info.  I would never have figured that out.  I'm disappointed v7 is so much worse then v6 in http profile.  Hopefully they'll fix it soon. 

I have s couple things I'd like to clarify:

You said to create my kids PCs as a Network.  Do you mean Host?  Assuming you mean network, what netmask should I use in the network definition.

Also, you said to create my PC as a network definition.  This seems to be the same as above (Definitions > Network > New Network Definition).  I just want to confirm this is what you want me to do.

--Scott

Scottg,
no, create each of the kids PCs as a host with a fixed IP. In the DHCP server you assign static address to each PC.
Or you could try as you were suggesting having them logon to the firewall to get external access and use the time functions in that role. I haven't tried that approach.

Other things you need to do are put specific access in the packet filter log using the time rules for each PC or PC group. I ended up removing the block filters and just used a generic block all at the bottom of the list. The packet filter list became easier to manage in my opinion.

I block everything below port 1030 all day for everyone. The reason for the rule is to stop the smarter children from using default configurations. I have the following proxies enabled
http
https
ftp socks.
The http is in standard mode so you need to enable the proxy function in your browser, that will allow https out without a packet filter rule.

Ian M

I really want to block access based on the user, not the computer.  Different people will use different computer in my house.

--Scott

I really want to block access based on the user, not the computer.  Different people will use different computer in my house.

--Scott

Scottg,
I haven't tried the local logon function, but you could try using that, but you have to be able to make sure they logged off.

It is no different to using computers as time managed access,if there is no security at logon then anyone can use it.

Ian M

I have user authentication enabled. So everyone needs to login.  But restricting access by time for a user in the HTTP Profiles doesn't work.

--Scott

I will have a fiddle and se what I can find.

Ian M

Any suggestions on how to do this?  One of the reasons I even setup Astaro was to force user's to login, then be able to restrict their time or the websites then visited by their login ID.  I haven't been able to do either of  these yet.

--Scott