Block web surfing for 1 IP

It seems like you have 2 choices:

-Change the IP to block so that it is outside the 'source network' subnet

or

-Add the single IP to the 'Transparent mode skiplist' so that it bypasses the proxy, and uncheck the box below that says allow http traffic. If you do have other entries on the list that need bypassed access, just create a separate rule in the Packet filter to allow that.

I tried adding the workstation and unticking the "allow http" but it did not work for me.

Is this because I am using eDirectory SSO mode?

Yes, the skiplist only applies in a transparent mode.  You can create a Profile for the single IP.  Leave 'User/Groups' empty in the 'Filter Assignment'.

Cheers - Bob

Ok, I setup a Proxy Profile called "Block Internet Access" and set it at the Top of my list.

I created a Source Network item called "Test Workstation" with the type identified as Host and the ip of my test workstation, interface -> any.

I have nothing ticked under Filter Assignments but it still isn't working for me.

What should I have for a fallback action and should I have anything else configured?  Should it be at the top of the list of profiles?

Also, if the user already is a part of an e-Dir group that is allowed access via Proxy Profile (in this case further down the list) what would take precedence?

Thanks!

The filters are processed in sequence; that's why you want to put the subset above the whole set.  There is an undocumented requirement that you use the same 'Operation mode' (SSO-eDir) in the profile for the single IP - I don't understand that, I think it's a bug, but that's what I've been told and have experienced.  You should have a separate filter and filter assignment for "Block All" that you use with this profile.

Cheers - Bob

So when I create my filter assignment it only lets me allow users/groups to it so now I'm right back where I started.

I can only block based on user/group not ip!

Hopefully I'm missing something (and most likely).

So when I create my filter assignment it only lets me allow users/groups to it so now I'm right back where I started.

I can only block based on user/group not ip!

Hopefully I'm missing something (and most likely).

Does it not let you leave the User/group section blank? 

If you are trying to create a http profile that does not use authentication, you should be able to create a filter assignment with the user/group blank.

GENIUS!

That totally worked - thank you so much, I've been struggling with this forever...

Now, I may be asking too much here, but is there any way to modify this policy to block a specifc workstation instead of IP?

Thanks again!

Reading through this thread, I want to also block all sites except ones I specify in the allow sites using http/s Profiles tab.  I used this tab to create this profile using these parameters and it didn't work:

Proxy Profile tab:  transparent mode enabled, source network is the IP, fallback action is the default content filter action

Filter Assignments:  none

Filter Actions:  mode is Whitelist, Allowed sites: Google.com

After doing this i can;t browse anything even Google.  Balfson, please advise.

You must have a filter assignment.  I don't know what happens if there is none - I guess it would use the fallback.  If you post a line from the log, we can see what's causing the block.

Cheers - Bob