Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 9364 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HOw to block some users from all internet traffic

Danzer_Astaro
We have all internet browsing traffic going out our Astaro.  I would like to block some PCs from gaining access to the Internet.

For example, I set up a rule (testblocking.jpg) 
Within this rule I have a DNS Group (testdeleteGroup.jpg) with my test machine in for now.  I have it blocking typical browsing protocols ( webSurfingGroup.jpg) 

I placed this before my allow browsing rule.  I also placed at the top, and just for giggles at the bottom.

No matter where the rule is, the PC in the test blocking group can still browse the web with no issues.

ANy idea how to set this up so I can block a group of PCs from browsing the web?

THanks in advance
Dave


This thread was automatically locked due to age.
  • 0
    try changing to host group instead of DNS
  • 0
    Thansk...Just tried that.  No change.

    I also set up a VERY simple rule

    Source: IP of test laptop
    All protocols
    Destination:  All IPs
    action:  Block

    Set up logging
    Tried at the top and bottom of the list.

    I can still browse with no issues, and nothing shows in the logs.

    Obviously I'm missing something very obvious.

    THANKS
  • 0 in reply to Danzer_Astaro
    Thansk...Just tried that.  No change.

    I also set up a VERY simple rule

    Source: IP of test laptop
    All protocols
    Destination:  All IPs
    action:  Block

    Set up logging
    Tried at the top and bottom of the list.

    I can still browse with no issues, and nothing shows in the logs.

    Obviously I'm missing something very obvious.

    THANKS

    HI!
    you are using Transparent Mode?
    If yes, then to what you've done you need to add your network test-delete in Web Filtering -> Advanced -> Transparent mode skiplist
    and use a firewall or Web Filtering Profiles
  • 0 in reply to creativity
    HI!
    you are using Transparent Mode?


    THANKS!
    That was it!!!... Well kinda.  Only works for one device.... Item #10 in the NewFwRules.jpg

    I tried adding more devices, and no matter how many I add, or subtract, it only works for the one device.  If I remove it, then it doesn't work for any.

    I'm gonna let this sit for a while, as there has to be something painfully obvious I'm missing..
  • 0
    Try to create a group and do much the same:
  • 0 in reply to creativity
    Yep, had a group at one point, but went to individual machines as a test.

    Here's the log from when I switched back to a group.

    Thanks again
    Dave
  • 0
    you can do this only by web-proxy.
    are many many different ways to do that by profiles or try 1 exapmle that I use

    Web-Proxy "simple mode" with "Transparent with Authentication" 
    Exception rule
    "from source host (host who will access the internet) = skip Authentication"
  • 0
    Thanks oldeda... Tried that.  Same results.

    I was going to go and re-do the workstation definitions, and noticed that the ones that are not working are resolving the wrong address. (3PCs.jpg)   Here's who it really is: 72.32.218.60

    Any idea why most of the workstations are not resolving properly?    I think this is the crux of the issue, and once it gets worked out, the issue will be resolved.
  • 0
    I think you'd be a lot better off to start over on the project of preventing internet gaming by asking a question in the Web Security forum, but, in the interest of resolving the issue here, ...

    In your Host definitions for the PCs, do you have 'Interface: >'?  In general, you should always have that as binding to a specific interface can cause problems like this.  Does that cause Firewall rule #9 to work correctly?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    wait a minute, thinks are getting confused not from rules but from definitions
    Reconfigure your internal clients like "hosts" not "dns hosts or groups"

    if you want to se my config let me know...

    and to be sure for one thing:
    any rule for trafic on port 80 (http) is not needed anymore since you use web-proxy. it will pass firewall rules
Unfiltered HTML