Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 3729 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web filtering by IP

TeachingTech
I've taken over the network for a small school where I teach. Astaro was set up (with AD authentication) before I came along, but I'm wanting to add some things to the network.

What I need to know: is there a way to give certain IP addresses a web filter profile while everyone else gets another? I feel like fallback is my answer, but it's not working like I expect it to. I could even handle this by subnets if that's possible. I've read through the manual but still can't find exactly what I'm looking for.

Not knowing much about Astaro, I think this is the best solution. But I'm open to suggestions. What I'm trying to do is give teacher machines (including Android tablets) certain web access while giving everyone else (ie, students) more restricted access. 

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    Hi, TT, and welcome to the User BB!

    If you're already using AD-SSO, then assigning profiles based on fixed IPs is a step backwards.

    Google site:astaro.org "AD-SSO" and limit the search to the last month.  You'll find a post with a link to a KnowledgeBase article with a description of how to configure AD-SSO, and another about AD Group Membership that's good to know.

    When asking a question, please always state the exact version of Astaro - 7.512?  8.305?

    Cheers - Bob
  • 0
    I agree with bob, if you can do what you want with AD-SSO do it, but i have run into a case or two where i needed to do exactly this (tho with edir)

    Using Proxy Profiles, Set the First Profile Sources to use the IP/Network/Subet that you want.
    Than for the Second You enter use your Local Network Objects, Or use a Custom Made One.

    Essentially it will check the client's IP Address against the first profile, and if it isn't there, it will than try AD-SSO Profile.
  • 0 in reply to Corey3443
    I'm using version 8.305.

    Bob, my problem is that I'm trying to add Android tablets to the network, and I can't get them to authenticate with AD. Also, I would like for students to be able to bring their own devices without having to do any configuration on each machine that comes in the door. 

    Corey, I have added a proxy profile to the top of the list. My source network is "Faculty Machines". 
    Filter assignment: "Faculty". 
    Fallback action: "Faculty". 
    Operation mode: "Standard". 
    Authentication mode: "None". 
    Is all that right?

    As for allowing students to bring computers in, should I use the fallback feature? How does that work?
  • 0
    It sounds like you have the background and intelligence to accomplish what you want to do, but, if the head of your school wants you to do it yourself, he'll need to be patient while you learn...

    There are too many unknowns to be able to see the right answer here (or even a workable one).  Please show pictures of existing Profiles, Filter Assignments and the 'Global' tab of 'Web Filtering'.  Also, how would a student's Android get an IP assignment outside of those received by the teachers' Androids?

    Cheers - Bob
  • 0
    I've attached the screenshots.

    In my mind, we could create reservations for the teachers' tablets and desktops assigning them a profile while everyone else that connects (whether Android tablet, PC or whatever) gets a student profile. Can it work that way? 
    Alternatively, we could set up subnets where everyone in on subnet gets one profile while anyone a second subnet gets another. 

    But, again, I'm just making assumptions about what Astaro is capable of based on what I've seen so far.


    As far as school administration goes, this is sort of a voluntary promotion I've signed up for. They're glad to let me take it over and learn as I go (as long as they're saving money), and I'm glad to learn new things (as long as I'm getting a little extra on my paycheck).
  • 0
    Assuming that the "Faculty" and "Students" groups are Backend Groups based on AD Security Group membership, those Filter Assignments can't work in the other profiles.

    For example, assign the Filter Action "Students" to a new Filter Assignment named "Student WiFi" and leave 'Allowed Users/Groups' empty.  Do the same for the "Faculty" Filter Action.  Now use these new ones in the non-AD profiles.

    Your first problem will be getting different IP ranges.  Preventing the students from learning the Faculty range and using it?  Not possible, I think.

    What subscriptions do you have for the Astaro?  What is your wireless infrastructure?

    Cheers - Bob
  • 0
    Alright, I think I've done what you've asked. I'm having to learn as I go how all this works. But it's still not working (ie, I don't get any web access from a faculty tablet). 
    I've attached screenshots of my changes.

    So, subnets wouldn't be a good idea unless we could prevent students from "stealing" IP addresses. What about making reservations for just faculty machines and only adding them to a group under "Network Definitions". Then add that object to a profile. 

    I'm not sure exactly about subscriptions, but I can tell you what we don't have: Mail security, Wireless security, Web app security. Those are the ones I've noticed anyway. 

    As far as wireless infrastructure: it's basically just two access points connected directly to two different switches. There are two halls in our school, so I installed one on each hall with hopes to add two more in the future.
  • 0
    Wait, I just changed the mode in my proxy profiles to "Transparent", and it worked! 

    What limitations will there be with transparent mode?
  • 0
    You have to allow HTTPS via Firewall rule, so you can't block student access to tors.  Standard is the right way to go.  Transparent access should be limited to Guests, and they should have only Internet access, not access to your internal devices.

    Speak with your reseller.  If you were our customer, I would urge you to drop your existing Anti-Spam/-Virus for your email and use the savings to upgrade to Full Guard.  You likely would save money on the subscriptions, and you would have Wireless Security for free.  Then, replace your existing wireless with Astaro/Sophos access points.

    These APs can be plugged in anywhere since they communicate with the ASG/UTM via an encrypted tunnel; no need to wire them separately and bring them in on a different Ethernet connection to manage them.  All of these APs work together and each is programmed automatically by WebAdmin.  You can set up upto eight different SSIDs with different access rules, authentication and encryption.

    Each SSID has its own "interface" wlan0, wlan1, etc., similar to the Ethernet interfaces eth0, eth1, etc.  So, you might have an SSID "Faculty" that is hidden, authenticates with WPA2 Enterprise to a RADIUS server on the AD server and has wlan1.  In 'Interfaces & Routing', add a new interface definition named "Faculty Wireless" using wlan1 and assign a new subnet.  Then, add a DHCP server for the new subnet, add a masquerading rule if necessary and add the new network to your Faculty Web Profile.

    You can do the same for "Students" (Standard WPA2 Personal) and even add one for "Guests" (Transparent, no authentication, all traffic masq'd out an unused public IP).

    You can achieve something similar with two separate networks of inexpensive gerneric access points, but they can't work together to provide seemless roaming, and each must be managed individually.

    Cheers - Bob
  • 0 in reply to BAlfson
    Each time I turn transparent off, I lose all access. I've allowed HTTPS in Firewall, but only for "Faculty Machines". Is there a way to get standard to work?

    I've attached my current figuration for my profiles. 

    I would love to buy new hardware, but at the moment I've spent my budget (mostly on tablets). I'd like to get things working now then look at gettin' fancy in the future. 
    What's the biggest benefit to adding Wireless security and Astaro APs?