Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 21416 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking all internet traffic from machine when using web filtering

rayik
I have a subnet (Green) that uses web filtering through SSO integration with a DC.  I want to continue using web filtering but also block specific machines from any access to the internet regardless of what user is logged in.  

My understanding of astaro is that traffic is first processed through web filtering and then the firewall rules.  If web filtering allows the traffic, then it is passed regardless of the firewall rules.

For example, with user "testuser" on a machine with static ip 192.168.1.10, I create a web filtering profile of "allow all" and assign "testuser" to that profile. I can also create a firewall rule of "block all" and assign 192.168.1.10.  If "testuser" logs in to 192.168.1.10, they are able to access the internet due to application of the "allow all" filtering profile regardless of the "block all" firewall rule to the machine.

I want to continue using web filtering but block a specific machine (in this example, 192.168.1.10) from any internet access regardless of the user logged into the machine.    I can not list all users in a "block all" web filtering profile as those users will log into other machines on the same subnet (192.168.1.x).  How would I go about doing that?

Thank you for any help


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    I'm sorry BAlfson and hallowach for not being clearer.

    For the PC I want to block all net access to, I have web filtering enabled and web filtering works okay.  (Fully transparent mode)  It blocks all web access.  However, non-web surfing internet activities (such as ping) are not blocked.  I'm trying to block all net access and can not configure it to do so when web filtering is enabled.

    I tried creating another profile with that PC being the only Network in the profile.  I placed that profile before the Green network profile.  Same result.  Blocks web access, but non web-access activities (such as ping) connect to the internet.
  • 0
    Pings are regulated on the 'ICMP' tab of 'Firewall'.  Other non HTTP/S traffic is regulated by firewall rules.  By default, the Astaro blocks everything, so you must have a firewall rule that is allowing this other traffic.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you Bob.  I had forgotten ICMP is a separate setting from the firewall settings.

    I still can not block all traffic from the machine "Block PC" which is located in "Green Network."



    Firewall Rule #1 is:

    "Block PC" > ANY > ANY - reject




    Proxy profile is:

    [GREEN network]

    SSO Authentication

    "User Group 1" - Filter "A"
    "User Group 2" - Filter "B"
    Fallback action - "Block All" filter action



    Logged into "Block PC" with a user that was not a member of either "User Group 1" or "User Group 2"

    With browser set for proxy at port 8080, all web browsing is blocked.

    However, if browser is set not to use a proxy (i.e., standard port 80), that user is now able to access the web.  This is with Firewall Rule #1 being reject for "Block PC."  

    (I have not testing other net access with services such as ftp or irc, but I would not be surprised to see those services allowed.)

    Is basically this how astaro works if you have web filtering on a network? If web filtering is not activated on the network, do just firewall rules control?
  • 0
    You must have a configuration error somewhere.

    Turn on logging for that firewall rule, start the Firewall Live Log, put the IP of the "Block PC" into the 'Filter' field and touch Enter.  If you don't see any traffic from that PC, check the Web Filtering log file to see if the traffic was handled there.

    If you don't see something in either place, then I'll guess that your "Block PC" definition is incorrect.  If not, then I'll guess the PC has a different default gateway and is not accessing the Internet through this device.

    Cheers - Bob
  • 0 in reply to BAlfson
    I've been using the same config file since v7 and v8.  I'll just spend a night building a new Astaro on a different hdd and re-do the configuration from scratch and see if that makes a difference.
  • 0
    1) you are using WebProxy in "transparent mode", there is no need to configure the browser in port 8080 and "Blocked PC" can't be blocked.
    2) make sure you don't have any exceptions with that pc
    3) make sure that Pc in not in any firewall rules

    doing WebProxy Transparent Mode with authentication will solve you something