Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 21414 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking all internet traffic from machine when using web filtering

rayik
I have a subnet (Green) that uses web filtering through SSO integration with a DC.  I want to continue using web filtering but also block specific machines from any access to the internet regardless of what user is logged in.  

My understanding of astaro is that traffic is first processed through web filtering and then the firewall rules.  If web filtering allows the traffic, then it is passed regardless of the firewall rules.

For example, with user "testuser" on a machine with static ip 192.168.1.10, I create a web filtering profile of "allow all" and assign "testuser" to that profile. I can also create a firewall rule of "block all" and assign 192.168.1.10.  If "testuser" logs in to 192.168.1.10, they are able to access the internet due to application of the "allow all" filtering profile regardless of the "block all" firewall rule to the machine.

I want to continue using web filtering but block a specific machine (in this example, 192.168.1.10) from any internet access regardless of the user logged into the machine.    I can not list all users in a "block all" web filtering profile as those users will log into other machines on the same subnet (192.168.1.x).  How would I go about doing that?

Thank you for any help


This thread was automatically locked due to age.
  • 0
    if you put the IP's you want to block in  Skip transparent mode source hosts/nets
    this is the easy setup, but if there is no firewall rules to allow those IP's

    another SSO option maybe is for domain computers not domain users
    (i never tested because I'm implementing AD this day and someone has to correct me on this)
  • 0
    The "skip transparent mode" does not work with other proxy modes such as standard or SSO so it will not work in this case.

    I would suggest creating different proxy profiles to allow and deny access. First create a proxy profile in standard mode for 192.168.1.10 (and any other PCs you want to block) to block all. Then create another proxy profile for the 192.168.1.x network for AD-SSO to allow access for the rest of the network. The order of the profiles matters so make sure you have the one for the 192.168.1.10 above the one for the whole network.

    In addition you may need to create some firewall rules to block traffic from 192.168.1.10 and/or put the global proxy in transparent mode and deny traffic.
  • 0
    Dilandau in profile mode you can use all the options and scenarios you want

    and since those computers are in AD you can live those without DNS [:)]
  • 0 in reply to Ol Deda
    another SSO option maybe is for domain computers not domain users
    (i never tested because I'm implementing AD this day and someone has to correct me on this)


    oldeda, I don't think SSO can authenticate by computer.  I think it is limited to authentication by user.

    I wish the firewall rules were applied before the web filtering profile.  It would have been easy to create a "block" firewall.  

    As it is now, a "block" firewall rule for a specific PC does not work when a web filtering profile allows traffic.
  • 0
    As mentioned in post #4 you should take a closer look at the possibilities that proxy profiles offer. 

    In short words: create a 'block all' profile for the hosts (dns hosts) that shall be blocked and put that profile above the profile that allows internet access for the other hosts/users. The picture on the first tabpage of the proxy profile section tries to explain in which order things are considered there.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    As mentioned in post #4 you should take a closer look at the possibilities that proxy profiles offer. 

    In short words: create a 'block all' profile for the hosts (dns hosts) that shall be blocked and put that profile above the profile that allows internet access for the other hosts/users. The picture on the first tabpage of the proxy profile section tries to explain in which order things are considered there.

    Regards
    Manfred


    I did not know you could create profiles for hosts.  I thought it was limited to users.  I'll try that tonight.  Thank you.
  • 0
    The 'allowed networks' of a profile are considered first to see if a request qualifies for a profile (source address of the request) - so if you create a profile with host1 and host2 in alowed networks and a second profile with 'internal network' in allowed networks, the first profile will match request from the source addresses of host1 and host2 and the second profile is never considered.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    I could not add a host as a "user/ group" to whom a filtering profile would apply.  I could not get SSO authentication to retrieve "computers" from AD.

    I have the web filtering profile working correctly.  I set up different filtering actions and then a profile within them as follows:

    "User Group 1" - Filter action "A"
    "User Group 2" - Filter action "B"
    Fallback action - "Block All" filter action

    This works for web browsing only if the user logging in to the PC is not a member of "User Group 1" or "User Group 2".   I will look at creating an AD GPO to block users from "User Group 1" and "User Group 2" from logging into that PC.

    There is a also a "block all" firewall rule for that PC.  If a user logs in that is not a member of "User Group 1" or "User Group 2", then the fallback action of "Black All" applies and web browsing is not allowed.

    However, other non-web browsing internet activities, such as PING, is allowed.  Using SSO- Authentication, web filtering only blocks services that go through port 8080 - which is web browsing.   I want to block all web access and in susing astaro for about 2 years, can not figure out a way to do this with web filtering active on that network.  If firewall rules were applied first, and then web filtering this would be easy to accomplish.  Is there any way to accomplish this or is this a limitation of Astaro?
  • 0 in reply to Hallowach2
    I could not add a host as a "user/ group" to whom a filtering profile would apply.  I could not get SSO authentication to retrieve "computers" from AD.

    I have the web filtering profile working correctly.  I set up different filtering actions and then a profile within them as follows:

    [GREEN network]

    "User Group 1" - Filter "A"
    "User Group 2" - Filter "B"
    Fallback action - "Block All" filter action

    This will block web browsing only if the user logging in to the PC is not a member of "User Group 1" or "User Group 2".  I will look at a AD GPO to block those users from logging into the PC.

    However, other non-web browsing internet activities, such as PING, is allowed for any user (even those not a member of "User Group 1" or "User Group 2."  Using SSO- Authentication, web filtering only blocks services that go through port 8080 - which is web browsing.   

    I want to block all web access.  There is a firewall rule of "block all" for that specific PC.   I have been using astaro for about 2 years and can not figure out a way to block a specific PC from all web access with web filtering active on that network.  If firewall rules were applied first, and then web filtering next, that would be easy to accomplish.  Is there any way to accomplish this or is this a limitation of Astaro?
  • 0
    Rayik,

    As hallowach said, you need a different Profile, not a different Filter Assignment.

    A big key in understanding how to use the ASG/UTM is the basic rule for traffic arriving at an interface: DNATs before Proxies and VPNs, and then manual Routes and Firewall rules.

    That means that you could DNAT Web Surfing traffic from those hosts to a non-existent IP, but the better answer is to use another Profile above your current one.

    Cheers - Bob