Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3329 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MAC Deny -> Guest Network

Abyss_X
Hi all,

i want to deny a guest device (which is allowed to use Internet) to use our network because of some ips alerts. So i give a short overview about our configuration:

Guest DMZ: 10.22.0.0/16
DHCP Server active

Webfilter Proxy Profile Transparent
Auth. Modus Browser (HTTP)
Firewall Rule: GuestDMZ -> HTTPS -> Internet -> allow


After some try an error i find out how to configure a MAC based firewall rule:

Definitions & Users -> Network Definitions -> MAC Adress Definitions
I Setup a list (WLAN-Deny-List) including the MAC 

Network Protection -> Firewall -> new rule
Source: DMZ-WLAN
Service: ANY
Destination: ANY
Source MAC Adresses: WLAN-Deny-List

OK, now i can block the HTTPS Traffic for this device but what is with the HTTPS/DNS Traffic from the Web Filtering Rule inside the Web Protection Module?

How can i deny all communication from the MAC this device is using?

regards, Abyss_X


This thread was automatically locked due to age.
Parents
  • 0
    doesn't a firewall rule as you describe above do that?
    Network Protection -> Firewall -> new rule
    Source: DMZ-WLAN
    Service: ANY
    Destination: ANY
    Source MAC Adresses: WLAN-Deny-List

    use action "drop", 

    that should do the job, right?

    if not, and DNS and HTTP(/s) are still available for the WLAN-Deny-List, you can try the web filter. this is how I set it up, I am not sure if it suits your needs, but it's worth a shot.

    I created a proxy profile for the (in your case) WLAN-Deny-List.
    the MAC-address definition doesn't work here, I used static entries in the DHCP for this, and just created Network Host definitions for each device, and grouped those devices together:
    group 1: blacklist - completely blocked in firewall, and webfilter as described below. also excluded from local DNS.(51 til 253)
    group 2: strict - holds the IP range of unused IP's(31 til 50)
    group 3: moderate - holds all phones&tablets - (IP's 1 til 20)
    group 4: open - used to block malicious sites & ads, only logs blocked sites, holds all known laptops & desktops. (IP's 21 til 30)


    for web filtering:
    under filter actions, create a blacklist,
    name: anything you like
    mode: deny by default
    leave the other fields(or put in as you prefer, but do not check any of the categories. this will block all http traffic)

    on filter assignment:
    create a new assignment with the following properties:
    Name: as you like
    allowed Users/Groups: leave empty
    Filter action: the previously created one
    click now on save.

    now create a new proxy profile
    Name: as you like
    Position: Whatever looks best, I don't know how your setup is
    filter assignments: previously created one
    fallback action: Default content filter block action
    mode: transparent
    scan https: as preffered.

    save & test
Reply
  • 0
    doesn't a firewall rule as you describe above do that?
    Network Protection -> Firewall -> new rule
    Source: DMZ-WLAN
    Service: ANY
    Destination: ANY
    Source MAC Adresses: WLAN-Deny-List

    use action "drop", 

    that should do the job, right?

    if not, and DNS and HTTP(/s) are still available for the WLAN-Deny-List, you can try the web filter. this is how I set it up, I am not sure if it suits your needs, but it's worth a shot.

    I created a proxy profile for the (in your case) WLAN-Deny-List.
    the MAC-address definition doesn't work here, I used static entries in the DHCP for this, and just created Network Host definitions for each device, and grouped those devices together:
    group 1: blacklist - completely blocked in firewall, and webfilter as described below. also excluded from local DNS.(51 til 253)
    group 2: strict - holds the IP range of unused IP's(31 til 50)
    group 3: moderate - holds all phones&tablets - (IP's 1 til 20)
    group 4: open - used to block malicious sites & ads, only logs blocked sites, holds all known laptops & desktops. (IP's 21 til 30)


    for web filtering:
    under filter actions, create a blacklist,
    name: anything you like
    mode: deny by default
    leave the other fields(or put in as you prefer, but do not check any of the categories. this will block all http traffic)

    on filter assignment:
    create a new assignment with the following properties:
    Name: as you like
    allowed Users/Groups: leave empty
    Filter action: the previously created one
    click now on save.

    now create a new proxy profile
    Name: as you like
    Position: Whatever looks best, I don't know how your setup is
    filter assignments: previously created one
    fallback action: Default content filter block action
    mode: transparent
    scan https: as preffered.

    save & test
Children
  • 0 in reply to FrankBarmentlo
    Hi,

    thx for the answer but i thinks this does not work for us. First the Firewall rule does not work for HTTP because we use the Webfilter Profiles, in this case you need no Firewall rule to allow http, also a deny does not work.

    If i understand your second part right i should use static entries for the guest devices, thats a problem because i had to set it for every guest who wants to use the internet and if i am not available they can`t use it.

    regards, Abyss_X