Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 5271 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Web Filtering]-help needed in setting up multiple filtering profiles for one network

rayik
Question concering web filtering.

I have a home license and set up a box with 5 nics: 1 wan and 4 lans for four seperate networks: [wired], [wireless], [voip] and [dmz].

I am trying to set up web filtering for the [wired] network with multiple filtering profiles - three profiles for different sets of users.  I have not been able to get it to work correctly and in searching the forum have not found a solution

The wired network (192.168.100.x) contains both windows domain users and non-domain users. Astaro authenticates domain users with AD SSO authentication.  I am trying to set up three seperate filtering profiles to apply on the wired network for two seperate AD user groups [Domain User Group 1] and [Domain User Group 2] as well as non-AD users (with filtering applied to specific machines for which there are Network definitions).

Web filtering profiles are set up as follows:

(1)  Filter Profile 1
[Domain User Group 1]
[wired network]
[AD SSO authentication]
[Filter action 1]
Fallback filter action is [Filter action 3]

(2) Filter Profile 2
[Domain User Group 2]
[wired network]
[AD SSO authentication]
[Filter action 2]
Fallback filter action is [Filter action 3]

Default Filtering Profile
[wired network]
[transparent proxy]
BLOCK ALL ACCESS (whitelist only)


If Filter Profile (1) and (2) both active:
Domain User Group 1 - filtering using [Filter Action 1] works fine.  
Domain User Group 2 - applies fallback profile of (1) Filter Profile 1 - [Filter action 3] rather than using seperate filtering profile which contains those users [Filter Profile 2]
Non-AD users have net access.  (I am not sure if no filtering is done or if [Filter Profile 1] is applied).  The [Default Filter Profile] BLOCK ALL is not applied.   

If Filter Profile 1 is inactive and Filter Profile 2 is active, then:
Domain User Group 2 - applies [Filter Profile 2] as expected 
Domain User Group 1 - applies default Filter Profile of (2) Filter Profile 2 
Non-AD users have net access.  (I am not sure if no filtering is done or if  or [Filter Profile 2] is applied).  The [Default Filter Profile] BLOCK ALL is not applied. 

In searching the forum, I have found references which state only 1 filtering profile will work on a single network.  The filtering profile that will work is the first profile invoked.

Is this correct?  Is there a way to have three seperate filtering profiles on a single network; one each for [Domain User Group 1], [Domain User Group 2] and [non-AD users]? 

I wish to set up seperate Filter Profiles for [Domain User Group 1] and [Domain User Group 2] as well as block certain non-AD users (blocked by network definition for specific machines) and allow other non-AD users (again by network definition for specific machines)  If only one Filtering Profile is allowed per network, then I would be limited to 2 filter actions (the Profile rule action and default action) rather than the 3 or 4 actions sought.

[I note if I set up a seperate filtering profile for a different network [i.e, wireless] that seperate filtering profile works as expected.]


This thread was automatically locked due to age.
Parents
  • 0
    We use Hostdefinitions for Servers (no problem with changing ip's ...) and DNS-Hosts for 'special' User PC's. That works good in proxyprofiles and normal firewall rules. For the DNS-Hostsdefinition you need to configure a DNS lookup (and reverse DNS lookup??) from ASG to your internal DNS Server but if you have that working the DNS-Hosts are quite useful :-).

    Regards
    Manfred
Reply
  • 0
    We use Hostdefinitions for Servers (no problem with changing ip's ...) and DNS-Hosts for 'special' User PC's. That works good in proxyprofiles and normal firewall rules. For the DNS-Hostsdefinition you need to configure a DNS lookup (and reverse DNS lookup??) from ASG to your internal DNS Server but if you have that working the DNS-Hosts are quite useful :-).

    Regards
    Manfred
Children
  • 0 in reply to Hallowach2
    Thank you Manfred and Bob.  I did not realize a single Web Filter Profile could have more than one Profile Assignment with different user groups and actions in each Profile Assignment.  Once that was pointed out, it was simple to create seperate filtering actions for different AD groups on one network.

    I just can not get it to work for the non-AD user machines.  For the set up, I'm trying to use Web Filtering to block a single PC at 192.168.100.31 from having internet access (by using a whitelist with no entries).  I tried the following, none of which worked and none of which resulted in any live log entries for the non-AD user machine:

         *  Changed the order of the profiles   
         *  Changed the authentication method for the single PC Web Filter Profile (from Transparent to SSO)
         * Toggled anti-virus scanning (single scan) off and on

    I'm using 8.300 that was installed as a beta during the beta program.

    Profiles set up is:

    (1) Block a PC
    Operation Mode: [Transparent]
    Source Network: [192.168.100.31]
    Filter Assignment: [Block All]  (this is whitelist only)
    Fallback assignment:  [Default Profile]  
Cookie Information Banner