Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 5271 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Web Filtering]-help needed in setting up multiple filtering profiles for one network

rayik
Question concering web filtering.

I have a home license and set up a box with 5 nics: 1 wan and 4 lans for four seperate networks: [wired], [wireless], [voip] and [dmz].

I am trying to set up web filtering for the [wired] network with multiple filtering profiles - three profiles for different sets of users.  I have not been able to get it to work correctly and in searching the forum have not found a solution

The wired network (192.168.100.x) contains both windows domain users and non-domain users. Astaro authenticates domain users with AD SSO authentication.  I am trying to set up three seperate filtering profiles to apply on the wired network for two seperate AD user groups [Domain User Group 1] and [Domain User Group 2] as well as non-AD users (with filtering applied to specific machines for which there are Network definitions).

Web filtering profiles are set up as follows:

(1)  Filter Profile 1
[Domain User Group 1]
[wired network]
[AD SSO authentication]
[Filter action 1]
Fallback filter action is [Filter action 3]

(2) Filter Profile 2
[Domain User Group 2]
[wired network]
[AD SSO authentication]
[Filter action 2]
Fallback filter action is [Filter action 3]

Default Filtering Profile
[wired network]
[transparent proxy]
BLOCK ALL ACCESS (whitelist only)


If Filter Profile (1) and (2) both active:
Domain User Group 1 - filtering using [Filter Action 1] works fine.  
Domain User Group 2 - applies fallback profile of (1) Filter Profile 1 - [Filter action 3] rather than using seperate filtering profile which contains those users [Filter Profile 2]
Non-AD users have net access.  (I am not sure if no filtering is done or if [Filter Profile 1] is applied).  The [Default Filter Profile] BLOCK ALL is not applied.   

If Filter Profile 1 is inactive and Filter Profile 2 is active, then:
Domain User Group 2 - applies [Filter Profile 2] as expected 
Domain User Group 1 - applies default Filter Profile of (2) Filter Profile 2 
Non-AD users have net access.  (I am not sure if no filtering is done or if  or [Filter Profile 2] is applied).  The [Default Filter Profile] BLOCK ALL is not applied. 

In searching the forum, I have found references which state only 1 filtering profile will work on a single network.  The filtering profile that will work is the first profile invoked.

Is this correct?  Is there a way to have three seperate filtering profiles on a single network; one each for [Domain User Group 1], [Domain User Group 2] and [non-AD users]? 

I wish to set up seperate Filter Profiles for [Domain User Group 1] and [Domain User Group 2] as well as block certain non-AD users (blocked by network definition for specific machines) and allow other non-AD users (again by network definition for specific machines)  If only one Filtering Profile is allowed per network, then I would be limited to 2 filter actions (the Profile rule action and default action) rather than the 3 or 4 actions sought.

[I note if I set up a seperate filtering profile for a different network [i.e, wireless] that seperate filtering profile works as expected.]


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob,

    three things that come to my mind:
    1. change the opration mode for profile1 to standard (personally I don't like the transparent modes...;-) )
    2. are there any paketfilter rules that will allow traffic on port 80/443?
    3. since the default profile isn't used for any allows, change mode to non-transparent and put an unused network definition to the source and make it also a block all in contentfilter settings.

    Regards
    Manfred
Reply
  • 0
    Hi Bob,

    three things that come to my mind:
    1. change the opration mode for profile1 to standard (personally I don't like the transparent modes...;-) )
    2. are there any paketfilter rules that will allow traffic on port 80/443?
    3. since the default profile isn't used for any allows, change mode to non-transparent and put an unused network definition to the source and make it also a block all in contentfilter settings.

    Regards
    Manfred
Children
  • 0 in reply to Hallowach2
    Hi Bob,

    three things that come to my mind:
    1. change the opration mode for profile1 to standard (personally I don't like the transparent modes...;-) )
    2. are there any paketfilter rules that will allow traffic on port 80/443?
    3. since the default profile isn't used for any allows, change mode to non-transparent and put an unused network definition to the source and make it also a block all in contentfilter settings.

    Regards
    Manfred


    (1)  Tried that and no change - machine allowed out
    (2) Changed firewall packefilter rules.  Created new network group of [wired - allowed out machines] which specifically included machines that should reach the internet.  The [192.168.100.31]  machine was not in the group.  I then changed the firewall rules for the [wired network] substituting source [wire d- allowed out machines] in place of [wired network].  I also added a rule at the end of the group of [wired network rules] which was [wired networ] > any > any - drop.  No change.  [192.168.100.31] machine could still connect and get out to the internet.
    (3) Tried that seperately and machine could still get out.





    Manfred,

    1. In Transparent, it also works in Standard. In Standard, it does not work in Transparent. In transparent, the proxy can take care of people without forcing them to configure their browser.
    2. Yes, you do need something like 'Guest (Network) -> Web Surfing -> Internet : Allow'.
    3. As I said in Post #4 above, Rather than that, it's probably easier to put the main proxy configuration in "Transparent" and configure it for the non-AD users. Then, you only need a single Profile; AD-SSO mode with two Filter Assignements and 'Fallback Action' of "Default Content Filter Action". Because of my response to 1, I think this has the same effect as your First Profile. However, I would like to continue our discussion about that as there may be something I'm overlooking, and I know to trust your ideas.

    Cheers - Bob 


    Tried #3 and this did not work.  Machine could still get out to the internet.

    I find this very frustrating.  I wish it was simple as creating a firewall rule of [192.168.100.31] > any > any - DROP.  This would be a simple way of accomplishing the goal.

    As an aside, I have a drop rule for a solaris box that does work.  [Solaris box] > any > any - DROP does block internet access for that box.  Toggling that firewall rule ON and OFF does just what one expects.  It's funny that the identical firewall rule for a Windows 7 box does not work the same way.
Cookie Information Banner