Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2231 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking list of IPs from accessing proxy

dgordon
Hi guys,
I've got another quick question about Web Security (8.202). Can I add a list of IPs that I do not want to access the proxy to a block/ban list somewhere? They are for kiosk machines that are used to only access an internal website. They are locked down in other ways, but I'd still like to make sure they can't access the proxy.

The problem is that the IPs are in the middle of the 10.x range - and I'd like all the other devices in the 10.x range to be able to access the proxy. 

How would you go about this?

Thanks again for your help!


This thread was automatically locked due to age.
  • 0
    Hi,

    what mode are you using for the http proxy (transparent, standard etc) ?

    If you are using transparent mode you can go to the advanced tab and add the network definitions to the transparent mode skip list and make sure the check box for allow traffic for these hosts is not checked. Then those machines would not use the proxy and you can implement packet filter rules to control their access.

    Another option would be to create a separate http profile for these IPs that would have restricted access for these machines.
  • 0
    Sorry, standard mode with AD SSO authentication.

    I thought that creating a separate proxy profile might be the only option but wanted to check that there wasn't a block/ban list first.
  • 0
    I would suggest that you put the particular devices on a separate subnet, and not include the specific subnet in the Local Networks setting in Web Security.

    Unfortunately, the Local Networks list that is associated with the Web Security (HTTP Proxy) is an implicit firewall rule that is interpreted before the user firewall rules, it is impossible to create a firewall rule to block traffic from the HTTP Proxy.
  • 0
    Hi Peter,
    Thanks for that. Looks like I'll have to create a proxy profile with those IPs/subnets.
  • 0
    If you run this traffic through the Astaro Proxy, you risk allowing access by numeric IP to anything in your network.  It seems more secure to me to lock down the configurations and prevent any outside accesses with firewall rules.  Also, I'd put these devices on a separate VLAN and allow access only to the severs for your internal website.

    Several  years ago, several of us discussed the subject of a Guest network, and I wrote up a one-page summary.  That might help you.  If you'd like a copy, click on my name and email me.

    Cheers - Bob