Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 3731 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web filtering by IP

TeachingTech
I've taken over the network for a small school where I teach. Astaro was set up (with AD authentication) before I came along, but I'm wanting to add some things to the network.

What I need to know: is there a way to give certain IP addresses a web filter profile while everyone else gets another? I feel like fallback is my answer, but it's not working like I expect it to. I could even handle this by subnets if that's possible. I've read through the manual but still can't find exactly what I'm looking for.

Not knowing much about Astaro, I think this is the best solution. But I'm open to suggestions. What I'm trying to do is give teacher machines (including Android tablets) certain web access while giving everyone else (ie, students) more restricted access. 

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    BTW, in transparent mode, I get no java. Which is a big deal. Our entire student information system runs on java.
  • 0
    Your three new Profiles negate the elegant work done to establish the one that is now #4.  Start by moving this profile back to the top position and test again.

    If the wireless is just a part of your current network and not on a separate Astaro interface, this is more complicated.

    If you want to continue down this road, you'll need to establish Firewall rules allowing other-than-HTTP browser traffic as that is handled by the Proxy in "Standard" mode.  Also, you'll need to configure the 'Skip transparent mode' lists based on the existing 'Exceptions' in your PC's 'Proxy Settings'.  Without a separate IP range and DHCP server for the wireless, you're forced to open up everything for everyone.

    Cheers - Bob
  • 0
    I've moved the AD authentication back to the top. Will that affect the other three?

    I don't really understand what "Standard" mode is. I get transparent mode. Why wouldn't standard be working for me now? And how does it relate to the Firewall rules?
  • 0
    Hi, standard mode means you set the proxy address on each PC (or through WPAD or Group Policy).

    The proxy bypasses all exposed firewall rules, as it has it's own hidden rules which have higher precedence.

    Barry
  • 0 in reply to BarryG
    Can I set firewall rules to only apply to certain machines/IPs? 
    (ie, can I allow all traffic on faculty machines except for the http filter?)
  • 0
    Hi,
    Yes, you could allow all NON HTTP/HTTPS traffic with packetfilter rules, assuming you know the IPs of those machines.

    Barry
  • 0
    How would I do that? I see allow/drop/reject, but none of those look right. Do I need to create a rule for every object (except of course http/s)?
  • 0
    I have mixed feelings about helping you do this since it won't take the boys one day to figure out how to find a tor on HTTPS and use it to watch ****.  It might take them a little longer to figure out the range assigned to the teachers' wireless devices, and a little longer than that to figure out which teacher has which IP.  Like I said before, the only real solution requires different, isolated, wireless networks for students and teachers.  That requires access points with different SSIDs and credentials for students and teachers and for each network of access points, a separate, wired interface on the Astaro.  OK, I'll get off my soapbox for now... [:)] 

    In WebAdmin, sequence matters, so, yes, moving the AD-SSO Profile back to the top allows it to capture the traffic of anyone logged-in to your domain.  I presume that you have a GPO that distributes the same 'Proxy Settings' to each logged-in user.  As Barry says, it's the 'Proxy Settings' that point the browser at the Astaro on port 8080 and allow the Browser to send the added information needed for AD-SSO.

    Into the 'Allowed networks' of the Transparent Faculty Profile, you should not put the IPs of any PCs that login to the domain!   I assume that the "Faculty Machines" definition is a Group that contains Host definitions for each fixed IP that you've assigned to each teacher for their iPhone/iPad/Android on your wireless network.  I assume also that your fixed range for the teachers' wireless devices is outside of the DHCP range assigned to all other devices on your network.

    Finally, on the Advanced tab of 'Web Filtering', find the 'Target Services' box - those are the ones you need to put into a Services group that you could name "Target Services."  Now, you can make a Firewall rule like 'Faculty Machines -> Target Services -> Internet : Allow'.  I wouldn't recommend allowing open HTTPS or anything else to the rest of your "Internal (Network)" - that will have the kids complaining that they can't get to their bank accounts, but at least you won't have them going where you don't want them.

    You'll still have some work to add the 'Exceptions' from your 'Proxy Settings' to the 'Skip transparent mode destination hosts/nets' box on the 'Advanced' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry for the delay.

    I've set all this up. But I'm still getting an error saying Java in disabled in the browsers. When I take everything back to the way it was, I don't get this error. 

    Also, I don't get the part about exceptions. The only exception I have now in the "Skip transparent..." is my server.
  • 0 in reply to TeachingTech
    Ok, the java thing was completely unrelated. Got that fixed. Everything seems to be working fine. I'll do some more testing to make sure.