Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 577 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configuration help: Guest VLAN with few Server and Internet Access

StephanG
Hello,

i don't know where i can configure this.

I created a group for the servers the guest should be able to access (internal dc/dns, update server). This works very well.

But when it comes to internet access i'm stuck.

I've set up a network definition for the VLAN and added it to the HTTP Proxy. Also i added a packet filter to allow Web Surfing.

But what i don't want is that they can access every internal servers web service.

So i thought i create a drop rule thats is one number higher than the web surfing rule that drops any traffic going to internal subnets.

But i think it's overridden by the http proxy rule. How can i solve this ? It would be nice if i could log the http access from the guests (so i need the proxy).

Can anyone help me out with this please ? 

Greets
Stephan


This thread was automatically locked due to age.
Parents
  • 0
    That's correct.  With the HTTP Proxy activated, you do not need the masq rule nor the packet filter allow rule.  If you wanted to allow web access for other than web surfing, you indeed would need the masq rule.

    If you wanted to use the Proxy, you could have included the subnet of the internal network in 'Additional URLs/sites to block'.  For example, "10.10.10.0/24" could be blocked with "/10.10.10." (without the quotes, of course).  The internal users don't go through the proxy for internal accesses, so they are not affected.

    With this second approach, you would not want to give the guest network access to the Astaro DNS proxy, so you might want to make a NAT rule: '[Guest network] -> DNS -> Any : DNAT to [nameserver for your ISP]'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    That's correct.  With the HTTP Proxy activated, you do not need the masq rule nor the packet filter allow rule.  If you wanted to allow web access for other than web surfing, you indeed would need the masq rule.

    If you wanted to use the Proxy, you could have included the subnet of the internal network in 'Additional URLs/sites to block'.  For example, "10.10.10.0/24" could be blocked with "/10.10.10." (without the quotes, of course).  The internal users don't go through the proxy for internal accesses, so they are not affected.

    With this second approach, you would not want to give the guest network access to the Astaro DNS proxy, so you might want to make a NAT rule: '[Guest network] -> DNS -> Any : DNAT to [nameserver for your ISP]'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data