Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 5264 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Web Filtering]-help needed in setting up multiple filtering profiles for one network

rayik
Question concering web filtering.

I have a home license and set up a box with 5 nics: 1 wan and 4 lans for four seperate networks: [wired], [wireless], [voip] and [dmz].

I am trying to set up web filtering for the [wired] network with multiple filtering profiles - three profiles for different sets of users.  I have not been able to get it to work correctly and in searching the forum have not found a solution

The wired network (192.168.100.x) contains both windows domain users and non-domain users. Astaro authenticates domain users with AD SSO authentication.  I am trying to set up three seperate filtering profiles to apply on the wired network for two seperate AD user groups [Domain User Group 1] and [Domain User Group 2] as well as non-AD users (with filtering applied to specific machines for which there are Network definitions).

Web filtering profiles are set up as follows:

(1)  Filter Profile 1
[Domain User Group 1]
[wired network]
[AD SSO authentication]
[Filter action 1]
Fallback filter action is [Filter action 3]

(2) Filter Profile 2
[Domain User Group 2]
[wired network]
[AD SSO authentication]
[Filter action 2]
Fallback filter action is [Filter action 3]

Default Filtering Profile
[wired network]
[transparent proxy]
BLOCK ALL ACCESS (whitelist only)


If Filter Profile (1) and (2) both active:
Domain User Group 1 - filtering using [Filter Action 1] works fine.  
Domain User Group 2 - applies fallback profile of (1) Filter Profile 1 - [Filter action 3] rather than using seperate filtering profile which contains those users [Filter Profile 2]
Non-AD users have net access.  (I am not sure if no filtering is done or if [Filter Profile 1] is applied).  The [Default Filter Profile] BLOCK ALL is not applied.   

If Filter Profile 1 is inactive and Filter Profile 2 is active, then:
Domain User Group 2 - applies [Filter Profile 2] as expected 
Domain User Group 1 - applies default Filter Profile of (2) Filter Profile 2 
Non-AD users have net access.  (I am not sure if no filtering is done or if  or [Filter Profile 2] is applied).  The [Default Filter Profile] BLOCK ALL is not applied. 

In searching the forum, I have found references which state only 1 filtering profile will work on a single network.  The filtering profile that will work is the first profile invoked.

Is this correct?  Is there a way to have three seperate filtering profiles on a single network; one each for [Domain User Group 1], [Domain User Group 2] and [non-AD users]? 

I wish to set up seperate Filter Profiles for [Domain User Group 1] and [Domain User Group 2] as well as block certain non-AD users (blocked by network definition for specific machines) and allow other non-AD users (again by network definition for specific machines)  If only one Filtering Profile is allowed per network, then I would be limited to 2 filter actions (the Profile rule action and default action) rather than the 3 or 4 actions sought.

[I note if I set up a seperate filtering profile for a different network [i.e, wireless] that seperate filtering profile works as expected.]


This thread was automatically locked due to age.
  • 0
    In searching the forum, I have found references which state only 1 filtering profile will work on a single network. The filtering profile that will work is the first profile invoked.

    Is this correct? Is there a way to have three seperate filtering profiles on a single network; one each for [Domain User Group 1], [Domain User Group 2] and [non-AD users]? 


    This is correct.  Simply put the three different Filter Assignments into one Profile.  In fact, it sounds like, for your needs, you will have two Filter Assignments and the third group will be handled by the 'Fallback action'.

    Cheers - Bob
  • 0
    I would like to extend Bob's answer to the following: The Profile that has a match in the source network section is used. So if you have a network of 192.168.100.0/24 and two 'special' hosts with 192.168.100.10 & 11 you can go the following way:

    First profile in the order:
    Hostdefinition xx.10 and xx.11 in the source network section
    Filter Assignment 1
    Filter Action 1
    Mode: transparent or something without authentication (standard for example)

    Second profile in the order:
    Network definition 192.168.100.0/24 in the source network section
    Filter Assignment 1
    Filter Assignment 2
    Mode: AD SSO

    Filter Assignment 1 has AD Group 1 and Filteraction 2
    Filter Assignment 2 has AD Group 2 and Filteraction 3

    That works perfect for us.

    The main point is: the first profile that matches the traffic source is used.

    Regards
    Manfred
  • 0
    Manfred recently helped me update a whitepaper that several of us here worked on together in 2009. "Configure HTTP Proxy for a Network of Guests - V8.3" might be helpful for you; click on my name and email me if you're interested.

    I agree that a separate Profile is better for the non-AD users because they need to be "seen" even in transparent mode.  Having said that, I think I'd go a step further.  What if the users change their IPs?

    You definitely would want the Proxy configuration for specific hosts to be in "Transparent" mode.  If those users do configure their web clients to point at the Astaro Proxy, the Proxy will react as if it were in a "Standard" mode already.

    On the other hand, if the browser does not have Proxy Settings aimed at Astaro, A Profile in a "Standard" mode won't see the traffic.  Because of this, you can put the non-AD Profile second, and have it apply to the entire wired network.

    Rather than that, it's probably easier to put the main proxy configuration in "Transparent" and configure it for the non-AD users.  Then, you only need a single Profile; AD-SSO mode with two Filter Assignements and 'Fallback Action' of "Default Content Filter Action".

    That's how I have our Astaro and our clients' Astaros configured, but I was on a deadline when I responded above.

    Manfred's approach works perfectly as well as mine, and will give the same result, as long as you, like he, know enough about locking down configurations so users can't change their IPs.

    Cheers - Bob
  • 0
    We use Hostdefinitions for Servers (no problem with changing ip's ...) and DNS-Hosts for 'special' User PC's. That works good in proxyprofiles and normal firewall rules. For the DNS-Hostsdefinition you need to configure a DNS lookup (and reverse DNS lookup??) from ASG to your internal DNS Server but if you have that working the DNS-Hosts are quite useful :-).

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Thank you Manfred and Bob.  I did not realize a single Web Filter Profile could have more than one Profile Assignment with different user groups and actions in each Profile Assignment.  Once that was pointed out, it was simple to create seperate filtering actions for different AD groups on one network.

    I just can not get it to work for the non-AD user machines.  For the set up, I'm trying to use Web Filtering to block a single PC at 192.168.100.31 from having internet access (by using a whitelist with no entries).  I tried the following, none of which worked and none of which resulted in any live log entries for the non-AD user machine:

         *  Changed the order of the profiles   
         *  Changed the authentication method for the single PC Web Filter Profile (from Transparent to SSO)
         * Toggled anti-virus scanning (single scan) off and on

    I'm using 8.300 that was installed as a beta during the beta program.

    Profiles set up is:

    (1) Block a PC
    Operation Mode: [Transparent]
    Source Network: [192.168.100.31]
    Filter Assignment: [Block All]  (this is whitelist only)
    Fallback assignment:  [Default Profile]  
  • 0
    Hi Bob,

    three things that come to my mind:
    1. change the opration mode for profile1 to standard (personally I don't like the transparent modes...;-) )
    2. are there any paketfilter rules that will allow traffic on port 80/443?
    3. since the default profile isn't used for any allows, change mode to non-transparent and put an unused network definition to the source and make it also a block all in contentfilter settings.

    Regards
    Manfred
  • 0
    Manfred,

    1. In Transparent, it also works in Standard.  In Standard, it does not work in Transparent.  In transparent, the proxy can take care of people without forcing them to configure their browser.
    2. Yes, you do need something like 'Guest (Network) -> Web Surfing -> Internet : Allow'.
    3. As I said in Post #4 above, Rather than that, it's probably easier to put the main proxy configuration in "Transparent" and configure it for the non-AD users. Then, you only need a single Profile; AD-SSO mode with two Filter Assignements and 'Fallback Action' of "Default Content Filter Action".  Because of my response to 1, I think this has the same effect as your First Profile.  However, I would like to continue our discussion about that as there may be something I'm overlooking, and I know to trust your ideas.

    Cheers - Bob
  • 0 in reply to Hallowach2
    Hi Bob,

    three things that come to my mind:
    1. change the opration mode for profile1 to standard (personally I don't like the transparent modes...;-) )
    2. are there any paketfilter rules that will allow traffic on port 80/443?
    3. since the default profile isn't used for any allows, change mode to non-transparent and put an unused network definition to the source and make it also a block all in contentfilter settings.

    Regards
    Manfred


    (1)  Tried that and no change - machine allowed out
    (2) Changed firewall packefilter rules.  Created new network group of [wired - allowed out machines] which specifically included machines that should reach the internet.  The [192.168.100.31]  machine was not in the group.  I then changed the firewall rules for the [wired network] substituting source [wire d- allowed out machines] in place of [wired network].  I also added a rule at the end of the group of [wired network rules] which was [wired networ] > any > any - drop.  No change.  [192.168.100.31] machine could still connect and get out to the internet.
    (3) Tried that seperately and machine could still get out.





    Manfred,

    1. In Transparent, it also works in Standard. In Standard, it does not work in Transparent. In transparent, the proxy can take care of people without forcing them to configure their browser.
    2. Yes, you do need something like 'Guest (Network) -> Web Surfing -> Internet : Allow'.
    3. As I said in Post #4 above, Rather than that, it's probably easier to put the main proxy configuration in "Transparent" and configure it for the non-AD users. Then, you only need a single Profile; AD-SSO mode with two Filter Assignements and 'Fallback Action' of "Default Content Filter Action". Because of my response to 1, I think this has the same effect as your First Profile. However, I would like to continue our discussion about that as there may be something I'm overlooking, and I know to trust your ideas.

    Cheers - Bob 


    Tried #3 and this did not work.  Machine could still get out to the internet.

    I find this very frustrating.  I wish it was simple as creating a firewall rule of [192.168.100.31] > any > any - DROP.  This would be a simple way of accomplishing the goal.

    As an aside, I have a drop rule for a solaris box that does work.  [Solaris box] > any > any - DROP does block internet access for that box.  Toggling that firewall rule ON and OFF does just what one expects.  It's funny that the identical firewall rule for a Windows 7 box does not work the same way.
  • 0
    Hi Rayik,

    that sounds strange. Can you determine on which way that xx.100.31 machine accesses the internet? (packetfilter, dnat should be found in paketfilter log or via webproxy in contentfilter log - in some logfile there must be a hint...or can that machine bypass the asg on a way?)

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Rayik,

    that sounds strange. Can you determine on which way that xx.100.31 machine accesses the internet? (packetfilter, dnat should be found in paketfilter log or via webproxy in contentfilter log - in some logfile there must be a hint...or can that machine bypass the asg on a way?)

    Regards
    Manfred


    Thank you Manfred for the ideas.

    The x.x.100.31 machine does not bypass the asg.  The asg has five (5) physical nics.  Connections are:

    wired --------------->|
    Wireless------------->|
    VOIP---------------->|     ASG------->| Modem
    Server DMZ---------->|

    While accessing the internet on the [192.168.100.31] machine, there are no entries in either the web filtering (with all x.x.100.x rules set to logging) or firewall logs.

    With more tinkering I think I see a pattern.  The [192.168.100.31] machine is a windows hyper-v vm.  All x.x.100.x hyper-v vms are connecting to the internet even with a default filtering profile of BLOCK ALL for that network.

    I set up two Web Filtering profiles:

    (1) Wired network allowed
    Source networks: [Wired]
    Filter assignments: 
    1 - [Profile 1]
    2 - [Profile 2]
    Fallback action:  [Profile 3]  --> which is BLOCK ALL profile
    Operation mode:  [Standard]
    Authentication: [Active Directory SSO]

    (2) Block wired network AD users
    Source networks: [Wired]
    Filter Assignments: [Profile 3]  --> which is BLOCK ALL profile
    Fallback Action: [Profile 3]  --> which is BLOCK ALL profile
    Operation mode: [Transparent]

    With (1) only active, AD users are filtered according to either Profile 1 or Profile 2.  Non-AD users on either physical or hyper-v vm machines connect to the internet

    With (1) and (2) active, AD users are filtered according to either Profile 1 or Profile 2.  Non-AD users on REAL PHYSICAL machines have internet access blocked.  Non-AD users on hyper-v virtual machines are not blocked and have full internet access.  The REAL PHYSICAL HYPER-V HOST is blocked.

    The hyper-v host has 3 physical nics.  Configuration is as follows:

    [GREEN] - virtual machine host and several hyper-v guests including [192.168.100.31]
    [PURPLE] - virtual machine hosts in [SERVER-DMZ] network.  Web filtering works fine for this network.
    [RED] - nothing hooked up to it.  (Used to be for hyper-v asg)

    It is strange that the hyper-v guests using the [GREEN] nic (with seperate ip addresses for each guest) are not blocked by web filtering while the actual hyper-v HOST which uses the [GREEN] nic is blocked.

    Later I'll try running the [192.168.100.31] hyper-v machine through the [RED] nic - which will make it the only machine on that nic, and see if that makes a difference.

    Bob