Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2040 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Do Proxy Rules Trump Firewall Rules?

Buggrit
Hi,

I think I must be missing something fundamental and I wonlder if anyone can help. My problem is that I have a set of Web Proxy default rules for all users which work well but I also a need to block some users on an as needed, ad-hoc 'Instant-switch-off' basis. I had hoped to do this with a simple firewall rule.

So I created a rule which looks something like: block any protocol from "Host-A" going to any other host or network 

But... when I switch the rule on,web traffic still passes [:S]

Does anyone have any thoughts...?

JB


This thread was automatically locked due to age.
  • 0
    Hi, firewall rules come last after NATs and Proxies.

    Barry
  • 0
    Hi, JB,

    Like Barry says, there are "hidden" rules about working with this stuff.  You're asking about what I call Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, JB,
    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Thanks Bob - useful info. I now understand why I was having such problems.

    So this being the case, what is the best way to set a time-based http/s (web surfing) block for particular user on a particular device (phone), whilst allowing the same user to have web access from a different device (workstation PC)? The PC is a domain machine but the phone is Android-based and so non-domain. I have the Astaro set-up with SSO authentication against the Windows Server 2012 DC. I can see that others may be interested in this as this scenario is likely to constitute a wider problem and would hold true for any non-domain device e.g. I-pad, Windows-home-licenced machine etc...

    Your thoughts would be received like water in the desert... 

    Thanks guys.

    JB
  • 0
    Everybody likes to help a poet!

    The easiiest way to do this is with an aggressive Failover Action in the AD-SSO Profile that prevents people from using Standard Proxy mode when they aren't a member of the domain.  Then, create a Profile in Transparent mode that has a Filter Assignment based on your Time Event.  Finally, create a Firewall Block rule for Web Surfing that blocks outbound traffic based on your same Time Event.

    For a complete description of what several of us here have come up with ("Configure HTTP Proxy for a Network of Guests"), send an email to my username here at the domain in my signature below.  This document doesn't mention the thoughts in the paragraph above, but there are a lot of other "tricks" in it.

    Cheers - Bob