Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 3585 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Clientbezogen Internetzugriff blocken

Andreas Heinzel
Hallo zusammen,
ich stehe vor der Aufgabe gezielt einigen PCs den Internetzugang zu blockieren.
Welchen Lösungsweg bietet hier eine ASG220 V8.202?

Folgendes habe ich, bis jetzt erfolglos, probiert:
Mein Ansatz ist es über eine Firewall-Regel zu realisieren.
- Gruppe erstellt, die die betreffenden Hosts / PCs enthält
- Firewall-Regel
Quelle: HostGruppe
Dienst: Web Surfing (auch mit any probiert...)
Ziel: any
Aktion: ablehnen

Leider funktioniert es SO nicht. Die Clients haben Internetzugriff...
Hat schon jemand solch ein Zenario umgesetzt bekommen.

Ich bin für jede Hilfe dankbar!

Grüße aus Bärlin,
Andreas


This thread was automatically locked due to age.
  • 0
    Hallo Andreas,

    nutzt du den HTTP Proxy der ASG? Wenn ja gilt: DNATS vor Proxys vor PF Regel. Das hieße, wenn du den Proxy nutzt kommt die PF Regel nicht zum Zuge, da der Proxy vorher kommt.

    Du müsstest in dem Fall in der Proxykonfig die PC's die nicht dürfen können sollen in den Allowd Networks ausschließen (oder nur die reinnehmen die dürfen) oder zwei Proxyprofile aufsetzen wobei beim ersten nur =>default block drin steht und für die anderen eine 'normale' Konfig drin ist.

    Gruß
    Manfred
  • 0
    Hallo Manfred,
    danke für die schnelle Antwort.
    Ich hatte im Proxy schon folgenden Eintrag (vergessen zu erwähnen):
    Unter Transparentmodus-Ausnahmen, bei Quell- und Zielrechnern jeweils die Host Gruppe und den Hacken bei HTTP zulassen.

    Meinst du das?

    Gruß
    Andreas
  • 0
    Hi Andreas,

    neee - die Transparentmodus-Ausnahmen (Transparentmode skiplist) enthält die Ziele, die nicht durch den Proxy erreicht werden sollen - weil z.B. manche Websites mit Proxy's nicht klar kommen. Die Ziele dadrin werden dann nur über evtl. vorhandene Paketfilterregel erreicht.

    Was ich meine ist die Liste der 'Allowed Networks' auf dem 'Global' Tab im Bereich Web Security- ich weiß gerade nicht wie das im deutschen WebAdmin heißt. Da wird ja definiert welche Quellen (=deine internen Rechner) den Proxy benutzen dürfen.

    Wenn du den Transparentmode des Proxy benutzt, musst du auch prüfen, ob es evtl. Paketfilterregeln gibt die den Webtraffic nach aussen erlauben (und diese da ebenfalls ändern)

    Gruß
    Manfred
Unfiltered HTML