Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4551 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering and Time of Day Firewall Rule

toogle
Hello.  I am having an issue that is similar to what is described in the early part of the thread below, however I haven't been able to sort mine out.

Trouble with Time of Day Firewall Rule in 9.1.0.0

Basically, I am trying to use time restrictions to block Internet access during school hours to some streaming devices (a couple of Rokus, an Apple TV, a PS3, and a Wii.  I had this working just great, via a firewall rule with a time period defined.  At first I used MAC addresses, and then later switched to static IPs for those devices.  However, I enabled Web Filtering a few weeks ago, and unbeknownst to me, apparently that broke my blocking of those devices. When I initially enabled Web Filtering, I did have to add several of these devices to the "Transparent mode skiplist" to even get them to work, however I did not realize it broke my firewall rule time restrictions.

In the thread linked above, I see Bob's "Rule #2", that states packets are handled in the order of DNATs, then VPNs and proxies, then manual routes and firewall rules.  This explains why my firewall rule is no longer effective.  However, try as I might I have been unable to figure out how to use Web Filtering Profiles to restore my control over these devices using filter actions, filter assignments, and proxy profiles.

There's no user authentication on these devices, so I'm not sure if that's part of the problem.  Can someone give me some suggestions or examples, get me pointed in the right direction?  Currently running UTM 9.107-33 with the home license.

Thank you,
Tom


This thread was automatically locked due to age.
  • 0
    You can create web filtering profiles and put time restrictions on those too.
  • 0
    Hi apijnappels, thank you for the reply.  Yes, I can see where that is possible, but again I have not been able to get the planets to align and make a web filtering profile work so far, with or without time restrictions.

    I was hoping to get maybe some more detailed steps on making this work if possible.  Bob?  Barry?

    Thanks,
    Tom
  • 0
    You can create separate web filtering profiles under: Web protection -> Web filtering profiles.
    The tabs work best from last tab to first tab order, so start at "Filter actions" tab and create an action. Then go to the "Filter assignment" tab and connect the just created filter action to a time definition and if necessary to user(group)s.
    Then create a proxy profile where you can select the source networks (or hosts), the source endpoint groups (if you use endpoint protection with web control enabled) and the just created filter assignment.
    Choose a fallback action (an action that should be applied if there is no match for the profile) and your basically done.
    If you create multiple proxy profiles, then remember they are evaluated in order from first to last and they stop once the first match is found.
  • 0
    Tom, French has a great expression for those things that take advantage of one's lack of knowledge: un piège à cons.  In this case, the trick you're missing may be leaving 'Users/Groups' blank in the Filter Assignment.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm running version 9.203-3

    THE ISSUE:
    1. Don't want kids on their computers or devices at night, want their access to cut off at 10pm daily (automatically)
    2. Want to be able to disable their individual devices manually from time to time.

    PREVIOUS FIX:
    Used firewall rules with a Time Period definition to schedule a cut off to ports 1:65535 for their devices.
    (Ports 1:65535 having been enabled in a later rule)

    NOW THE NEW PROBLEM IS:
    Have enabled the web filter.  Firewall rules do not get obeyed.

    THE QUESTION:
    How do I set up the above using web filter rules.
    The gist of it is devices on from 8am to 10pm and blocked at other times.

    (Have already got the kids devices configured as Hosts in Network definitions and the time of day conditions set it the Time Period Definitions)

    Many thanks!

    Thanks
  • 0
    Web filter has precedence over firewall. 

    Per Apisnappels above 
    You can create web filtering profiles and put time restrictions on those too.
  • 0 in reply to noddy184
    I'm running version 9.203-3

    THE ISSUE:
    1. Don't want kids on their computers or devices at night, want their access to cut off at 10pm daily (automatically)
    2. Want to be able to disable their individual devices manually from time to time.

    PREVIOUS FIX:
    Used firewall rules with a Time Period definition to schedule a cut off to ports 1:65535 for their devices.
    (Ports 1:65535 having been enabled in a later rule)

    NOW THE NEW PROBLEM IS:
    Have enabled the web filter.  Firewall rules do not get obeyed.

    THE QUESTION:
    How do I set up the above using web filter rules.
    The gist of it is devices on from 8am to 10pm and blocked at other times.

    (Have already got the kids devices configured as Hosts in Network definitions and the time of day conditions set it the Time Period Definitions)

    Many thanks!

    Thanks


    I've been trying to wrap my mind around 9.2 update myself and the changes.

    I've been trying to figure this out for my son as well. Here's what worked for me:

    I created static mappings for each of his devices. I then created a Network Group and added all of his devices to this group. I then created a Web Filter profile to block all between 2030 and 0800. Then I moved this policy to come before the web profile that blocks the categories I have chosen.