Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 460 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Locking down the web

Barnicle
Hi there,

I'm having difficulty getting the hang of Astaro. I have two groups. One is unlimited users, and the other limited. Unlimited users should be able to access any website through a browser, including HTTPS. Limited users should be only able to access websites such as 411.ca, canadapost.ca, etc. Everything else for limited users should be locked down. I have added myself as a test user to the limited users group.

I tried doing this through Network > Packet Filtering, and found it tedious. Is there a more practical way of doing this, other than individually adding each website that I would like limited users to have access to? Furthermore, even when I tried creating these rules in Packet Filtering, I didn't manage to get them to work. I have my internal/external network cards configured correctly. 

Anyway, I would just like to start with configuring web access then move on to other things. Thanks for reading.


This thread was automatically locked due to age.
Parents
  • 0
    The Web Security HTTP Proxy handles this very well.  Do you have that license/subscription?

    How are you authenticating users?  Are all of the unlimited users in one subnet and all limited users in a different one?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ok, where do I start with HTTP Proxy? I'm not sure about the license, but I know our company is legit with all software. For testing purposes, the only user is me so far. We still have Astaro in a test enviroment. I am authenticating myself through my IP (RAS). All users will be on the same subnet.
  • 0 in reply to Barnicle
    I assume you don't want to manage users on the Astaro in addition to managing them in your domain.  The most flexible approach on the Astaro is to set up Active Directory with 'prefetch' in 'Users >> Authentication'.

    Over on your Domain Server, put the limited users in one group and the unlimited users in another.  As you add and remove users from your domain, they will be automatically handled by the Astaro based on group membership.

    Back on the Astaro, you are going to create two corresponding groups in 'Users >> Groups':

    Group Type: Backend Membership
    Backend: Active Directory


    Check the box 'Limit to backend group(s) membership' and indicate the group of limited users.

    Now, in 'Web Security >> HTTP', enable the proxy in transparent mode.  On the 'Content Filter' tab, set this up so that the blocks you want applied to the limited users are in place.  On the 'Exceptions' Tab, create an exception with 'URL Filter' and 'Content Removal' boxes checked, check the 'OR these Users/Groups' box, click on the folder and drag the unlimited user group into the list. Click Apply, and you're ready to go!

    If you decide you want more-granular treatment for either group, or to have more groups, you will need to read up on 'HTTP Profiles'.

    Cheers - Bob

    You know, as complex as my description is, I'll bet there's also an article on this in the Astaro KnowledgeBase.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to Barnicle
    I assume you don't want to manage users on the Astaro in addition to managing them in your domain.  The most flexible approach on the Astaro is to set up Active Directory with 'prefetch' in 'Users >> Authentication'.

    Over on your Domain Server, put the limited users in one group and the unlimited users in another.  As you add and remove users from your domain, they will be automatically handled by the Astaro based on group membership.

    Back on the Astaro, you are going to create two corresponding groups in 'Users >> Groups':

    Group Type: Backend Membership
    Backend: Active Directory


    Check the box 'Limit to backend group(s) membership' and indicate the group of limited users.

    Now, in 'Web Security >> HTTP', enable the proxy in transparent mode.  On the 'Content Filter' tab, set this up so that the blocks you want applied to the limited users are in place.  On the 'Exceptions' Tab, create an exception with 'URL Filter' and 'Content Removal' boxes checked, check the 'OR these Users/Groups' box, click on the folder and drag the unlimited user group into the list. Click Apply, and you're ready to go!

    If you decide you want more-granular treatment for either group, or to have more groups, you will need to read up on 'HTTP Profiles'.

    Cheers - Bob

    You know, as complex as my description is, I'll bet there's also an article on this in the Astaro KnowledgeBase.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data