Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1865 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can I enforce web filter for certain ip addresses?

maryann
I have a very small group of student computers that I want to lock down quite a bit both with filter catagories and specific website urls.  It would be very easy to assign them static ips.  How do I set up web filters using ips?  Do I still need to configure a proxy for them?  Do I need to change my authentication server?  I have read the manual and am still confused.  Thanks for any direction anyone can provide.


This thread was automatically locked due to age.
  • 0
    Hi, the most secure way to force use of the proxy is to put the proxy in 'Transparent' mode (for both HTTP and HTTPS), and do not open other ports in the PacketFilter.

    Otherwise they might be able to modify the browser's settings to bypass the proxy.

    Are these computers on a separate LAN/interface?

    Barry
  • 0
    Hi, maryann, and welcome to the User BB!

    Use 'Web Filtering Profiles':
    [LIST=1]
    • Create a 'Filter Action' that does what you want.
    • Create a 'Filter Assignment' with your new Filter Action, leaving 'Users/Groups' empty.
    • Finally, create a 'Proxy Profile' with 'Source networks' containing a Network definition that covers the IPs assigned to the PCs.
    [/LIST]

    Another way to avoid having the kids use HTTPS to access sites blocked for HTTP is to use a Profile in a "Standard" instead of "Transparent" mode.  This requires configuring the 'Proxy Settings' in the PCs to point at the IP of the UTM's "Internal (Address)" on port 8080.

    Barry's approach requires loading the UTM's HTTPS cert into each PC's browser and via msc, so these approaches are equally complicated, and each has something to recommend it.  The "Transparent" approach has an edge if the PCs are on a separate interface - hence Barry's question.

    In any case, you'll want to lock down the configurations so that the kids can't change the IPs of the PCs or the 'Proxy Settings' if you go that way.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have the same question, but can I set a range of IP's addresses, instead of entering 200+ ip addresse? 
    for instance our dorms have meraki wifi controllers, and there are 8 WAP *.*.1.220-227. They need looser filters at night, since they live on campus. 
    how about anything on the *.*.10.* DHCP Scope, they need tight restrictions student BYOD network.
  • 0
    You can use all types of Network/Host definitions in 'Source networks' for a Profile.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    • Create a 'Filter Assignment' with your new Filter Action, leaving 'Users/Groups' empty.


    Is there any difference from doing this compared to setting the fallback option as the filter action?

    For Example: if you have a blanket rule for 10.0.0.0/24 as the source, and want full access; would there be any reason to do it the way you suggested over just using the default action?
Cookie Information Banner