Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2042 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Do Proxy Rules Trump Firewall Rules?

Buggrit
Hi,

I think I must be missing something fundamental and I wonlder if anyone can help. My problem is that I have a set of Web Proxy default rules for all users which work well but I also a need to block some users on an as needed, ad-hoc 'Instant-switch-off' basis. I had hoped to do this with a simple firewall rule.

So I created a rule which looks something like: block any protocol from "Host-A" going to any other host or network 

But... when I switch the rule on,web traffic still passes [:S]

Does anyone have any thoughts...?

JB


This thread was automatically locked due to age.
Parents
  • 0
    Hi, JB,

    Like Barry says, there are "hidden" rules about working with this stuff.  You're asking about what I call Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, JB,
    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Thanks Bob - useful info. I now understand why I was having such problems.

    So this being the case, what is the best way to set a time-based http/s (web surfing) block for particular user on a particular device (phone), whilst allowing the same user to have web access from a different device (workstation PC)? The PC is a domain machine but the phone is Android-based and so non-domain. I have the Astaro set-up with SSO authentication against the Windows Server 2012 DC. I can see that others may be interested in this as this scenario is likely to constitute a wider problem and would hold true for any non-domain device e.g. I-pad, Windows-home-licenced machine etc...

    Your thoughts would be received like water in the desert... 

    Thanks guys.

    JB
Reply
  • 0 in reply to BAlfson
    Hi, JB,
    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Thanks Bob - useful info. I now understand why I was having such problems.

    So this being the case, what is the best way to set a time-based http/s (web surfing) block for particular user on a particular device (phone), whilst allowing the same user to have web access from a different device (workstation PC)? The PC is a domain machine but the phone is Android-based and so non-domain. I have the Astaro set-up with SSO authentication against the Windows Server 2012 DC. I can see that others may be interested in this as this scenario is likely to constitute a wider problem and would hold true for any non-domain device e.g. I-pad, Windows-home-licenced machine etc...

    Your thoughts would be received like water in the desert... 

    Thanks guys.

    JB
Children
No Data