Web filtering by IP

I have mixed feelings about helping you do this since it won't take the boys one day to figure out how to find a tor on HTTPS and use it to watch ****.  It might take them a little longer to figure out the range assigned to the teachers' wireless devices, and a little longer than that to figure out which teacher has which IP.  Like I said before, the only real solution requires different, isolated, wireless networks for students and teachers.  That requires access points with different SSIDs and credentials for students and teachers and for each network of access points, a separate, wired interface on the Astaro.  OK, I'll get off my soapbox for now... [:)] 

In WebAdmin, sequence matters, so, yes, moving the AD-SSO Profile back to the top allows it to capture the traffic of anyone logged-in to your domain.  I presume that you have a GPO that distributes the same 'Proxy Settings' to each logged-in user.  As Barry says, it's the 'Proxy Settings' that point the browser at the Astaro on port 8080 and allow the Browser to send the added information needed for AD-SSO.

Into the 'Allowed networks' of the Transparent Faculty Profile, you should not put the IPs of any PCs that login to the domain!   I assume that the "Faculty Machines" definition is a Group that contains Host definitions for each fixed IP that you've assigned to each teacher for their iPhone/iPad/Android on your wireless network.  I assume also that your fixed range for the teachers' wireless devices is outside of the DHCP range assigned to all other devices on your network.

Finally, on the Advanced tab of 'Web Filtering', find the 'Target Services' box - those are the ones you need to put into a Services group that you could name "Target Services."  Now, you can make a Firewall rule like 'Faculty Machines -> Target Services -> Internet : Allow'.  I wouldn't recommend allowing open HTTPS or anything else to the rest of your "Internal (Network)" - that will have the kids complaining that they can't get to their bank accounts, but at least you won't have them going where you don't want them.

You'll still have some work to add the 'Exceptions' from your 'Proxy Settings' to the 'Skip transparent mode destination hosts/nets' box on the 'Advanced' tab.

Cheers - Bob

Sorry for the delay.

I've set all this up. But I'm still getting an error saying Java in disabled in the browsers. When I take everything back to the way it was, I don't get this error. 

Also, I don't get the part about exceptions. The only exception I have now in the "Skip transparent..." is my server.

Ok, the java thing was completely unrelated. Got that fixed. Everything seems to be working fine. I'll do some more testing to make sure.

This is actually working really well so far. I've set IP reservations for the tablets and made them a group in Astaro. That way they always get the same IP addresses and no one can steal them. 

Then I added services to the firewall rule that I want to allow them to have. Later, I'll go in and add another one once I'm ready for students to bring their own devices in.

This is actually working really well so far. I've set IP reservations for the tablets and made them a group in Astaro. That way they always get the same IP addresses and no one can steal them. 

Then I added services to the firewall rule that I want to allow them to have. Later, I'll go in and add another one once I'm ready for students to bring their own devices in.