Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 21416 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking all internet traffic from machine when using web filtering

rayik
I have a subnet (Green) that uses web filtering through SSO integration with a DC.  I want to continue using web filtering but also block specific machines from any access to the internet regardless of what user is logged in.  

My understanding of astaro is that traffic is first processed through web filtering and then the firewall rules.  If web filtering allows the traffic, then it is passed regardless of the firewall rules.

For example, with user "testuser" on a machine with static ip 192.168.1.10, I create a web filtering profile of "allow all" and assign "testuser" to that profile. I can also create a firewall rule of "block all" and assign 192.168.1.10.  If "testuser" logs in to 192.168.1.10, they are able to access the internet due to application of the "allow all" filtering profile regardless of the "block all" firewall rule to the machine.

I want to continue using web filtering but block a specific machine (in this example, 192.168.1.10) from any internet access regardless of the user logged into the machine.    I can not list all users in a "block all" web filtering profile as those users will log into other machines on the same subnet (192.168.1.x).  How would I go about doing that?

Thank you for any help


This thread was automatically locked due to age.
Parents
  • 0
    The 'allowed networks' of a profile are considered first to see if a request qualifies for a profile (source address of the request) - so if you create a profile with host1 and host2 in alowed networks and a second profile with 'internal network' in allowed networks, the first profile will match request from the source addresses of host1 and host2 and the second profile is never considered.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    I could not add a host as a "user/ group" to whom a filtering profile would apply.  I could not get SSO authentication to retrieve "computers" from AD.

    I have the web filtering profile working correctly.  I set up different filtering actions and then a profile within them as follows:

    "User Group 1" - Filter action "A"
    "User Group 2" - Filter action "B"
    Fallback action - "Block All" filter action

    This works for web browsing only if the user logging in to the PC is not a member of "User Group 1" or "User Group 2".   I will look at creating an AD GPO to block users from "User Group 1" and "User Group 2" from logging into that PC.

    There is a also a "block all" firewall rule for that PC.  If a user logs in that is not a member of "User Group 1" or "User Group 2", then the fallback action of "Black All" applies and web browsing is not allowed.

    However, other non-web browsing internet activities, such as PING, is allowed.  Using SSO- Authentication, web filtering only blocks services that go through port 8080 - which is web browsing.   I want to block all web access and in susing astaro for about 2 years, can not figure out a way to do this with web filtering active on that network.  If firewall rules were applied first, and then web filtering this would be easy to accomplish.  Is there any way to accomplish this or is this a limitation of Astaro?
Reply
  • 0 in reply to Hallowach2
    I could not add a host as a "user/ group" to whom a filtering profile would apply.  I could not get SSO authentication to retrieve "computers" from AD.

    I have the web filtering profile working correctly.  I set up different filtering actions and then a profile within them as follows:

    "User Group 1" - Filter action "A"
    "User Group 2" - Filter action "B"
    Fallback action - "Block All" filter action

    This works for web browsing only if the user logging in to the PC is not a member of "User Group 1" or "User Group 2".   I will look at creating an AD GPO to block users from "User Group 1" and "User Group 2" from logging into that PC.

    There is a also a "block all" firewall rule for that PC.  If a user logs in that is not a member of "User Group 1" or "User Group 2", then the fallback action of "Black All" applies and web browsing is not allowed.

    However, other non-web browsing internet activities, such as PING, is allowed.  Using SSO- Authentication, web filtering only blocks services that go through port 8080 - which is web browsing.   I want to block all web access and in susing astaro for about 2 years, can not figure out a way to do this with web filtering active on that network.  If firewall rules were applied first, and then web filtering this would be easy to accomplish.  Is there any way to accomplish this or is this a limitation of Astaro?
Children
No Data