Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 871 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfiltering Proxy

iwannabfishn
I am still unclear on web filtering  and web filter profiles. I have an AD group called Blocked Internet users. In TMG 2010 I could allow the AD group Domain Users and exclude this Blocked users group. I understand that UTM works differently. I just haven't been able to get it to work. I am sure it is a configuration problem on my part. Here is what I have.

Web filtering Global is set to all my LAN networks are in Allowed Networks. I have authentication set to Active Directory SSO. In the Allowed Users/Groups I have Domain Users.

In Web Filtering Profiles, I created 2 filter actions (Allowed Internet, and Blocked Internet). Then I created a Filter assignment for Blocked Internet Users and made the Blocked Internet filter action apply. In the allowed groups, I included my AD group Blocked Internet Users. I then created a filter assignment for Allowed Internet where I assigned that group the Allowed Internet Filter Action and assigned it to the AD group Domain Users. Last, I created a single proxy profile. I added all my source LAN networks and checked the Blocked Internet and the Allowed Internet Filter Assignments. The Blocked Internet Users is at the top.

When I login as a Domain User that is not a part of the Blocked users group I still get everything blocked. If I switch the order of the filter actions and put Domain users at the top, everything is allowed. The filter action seems to be applying, but the AD group isn't being used. If anyone can tell me what I am doing wrong I would really appreciate it. Tha


This thread was automatically locked due to age.
Parents
  • 0
    Did you already follow Configuring HTTP/HTTPS proxy access with AD SSO with a Sophos UTM?

    I would have designed this a bit differently, but you can fix your issue by just taking the group out of the "Allowed Internet" Filter assignment so that it applies to everyone other than those in the "Blocked Users" group.

    I would go back to the Global section (the "default profile") and set it to Transparent - that will then apply to anyone in your LAN that's not logged into the domain.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank you, what is your recommended way to do this?

    I was able to fix this by setting the global default to Transparent, then blocking everything by default. 

    In the proxy profile, the mistake I made was in the group setup for the AD group. I needed to check the "Limit to backend group(s) membership" and then select the AD group. Otherwise, the log kept coming up with NT user does not exist. Now my filter works as expected. I am still interested in how you recommend that this be setup. If there is a better way, I would rather do that. I am still trying to wrap my head around the interaction between the Global web filtering and the Web Filtering Profiles. What has priority?
Reply
  • 0 in reply to BAlfson
    Thank you, what is your recommended way to do this?

    I was able to fix this by setting the global default to Transparent, then blocking everything by default. 

    In the proxy profile, the mistake I made was in the group setup for the AD group. I needed to check the "Limit to backend group(s) membership" and then select the AD group. Otherwise, the log kept coming up with NT user does not exist. Now my filter works as expected. I am still interested in how you recommend that this be setup. If there is a better way, I would rather do that. I am still trying to wrap my head around the interaction between the Global web filtering and the Web Filtering Profiles. What has priority?
Children
No Data