This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web filtter profile by host

I'm looking to see if anyone has any pointers in how to add web filters by host.  

My utm is not using ad.  The hosts that I care about are manually mapped to ip addresses. (DHCP reservation in ms dhcp).   

I want to be able to create groups with hosts that I can apply filters to. (Kids iTouch and laptops). 
I also want to be able to apply Internet use times based on hosts and groups. 

In looking at the web filter settings.  I don't see a method of applying to a host. I want to leave the default profile to all and create a new profile for the kids.  What am I missing? 

It has to be by host... I have a lot of devices that are not part of AD. 

Suggestions?


This thread was automatically locked due to age.
  • It sounds like you just need to make a separate Profile for each group of Host definitions with a single Policy in each Profile.  Leave 'Users/Groups' empty in the Profiles.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I can only add users to groups. (Under users and groups). I don't have any users.  

    Can I create a group under Network Definitions?
    Maybe a network group? And add the hosts to this group?  

    ...  Just tried. Can't.  The profiles wants users.  

    I don't see a way to do this based on hosts.  It seems totally dependent on users and user groups. 

    Chris
  • As Bob says, you need separate profiles which are assigned by IPs in the Allowed Networks box...for each grouping of IPs you will need a separate profile.  Then assign your Policies to the profiles, with no users assigned, then your filter actions to the policies.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Like this:



    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Humm.   I will look into this. 
    I guess I was using an approach that I thought was logical. Thanks.
  • I guess I was using an approach that I thought was logical
    You were, but as with all things, you can't use things in a manner you want them to work, you have to go with the way they do work.  I wish my hammer could be used on philips head screws.  Tend to break or bend the heads though and does not nice things to the threads.  [;)]  There's some video tutorials on YouTube for the UTM web proxy for version 9.2 and earlier.  Things have been jumbled around in the interface for 9.3, but the basic tenants remain the same.  You may want to take a look at a couple of them.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Thanks for you help Scott.  I have made some progress and now have a better understanding of how this functions.

    My next problem.  The devices that I need to filter are on the same Vlan (or network).
    My issue here is if I config a policy and push it to the top of the list, everything seems to gets that policy.  I thought adding the hosts to the Allowed Networks list (as you show in your pic) in the web filter profile settings only allowed that profile to target those hosts?  Any other hosts should bypass and go to the next profile which is the default profile.

    I value your opinion, and really appreciate your help. Would you be willing to join a webex (I can provide) and go through some of this on my system with me?

    Chris
  • My issue here is if I config a policy and push it to the top of the list, everything seems to gets that policy. I thought adding the hosts to the Allowed Networks list (as you show in your pic) in the web filter profile settings only allowed that profile to target those hosts?
    Even hosts/networks that are not in the allowed networks list for that profile?  Profiles are evaluated in order from top to bottom, the first match it hits (profile by IP) will apply.  If the top profile has Internal LAN (Network) in the Allowed Networks box and the second profile only has selected Hosts within that LAN, the second profile will never be applied.

    Would you be willing to join a webex (I can provide) and go through some of this on my system with me
    I discourage asking some stranger on a public forum to access your system, even in a view only session.  If nothing else, that person now has your public IP, the logged-in account name on your UTM, and a detailed view of your internal network setup.  At a minimum it opens you up to DDoS attacks.  Much better if you provide screenshots of the profiles and policies (click the Go Advanced button and there's an area to upload them).  Also, have you done policy tests at Web Protection > Policy Test?  If you need the level of assistance where somebody needs access to your UTM, if you have a paid license, contact your reseller/Sophos support.  If a home license user, there are some resellers who will do this kind of work....make certain that a one time support contract that spells out liability is offered, both for the reseller and your protection.  Without this contract, you have no legal recourse if things go wrong.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Even hosts/networks that are not in the allowed networks list for that profile?  Profiles are evaluated in order from top to bottom, the first match it hits (profile by IP) will apply.  If the top profile has Internal LAN (Network) in the Allowed Networks box and the second profile only has selected Hosts within that LAN, the second profile will never be applied.


    Thank you for your concern.  I have included some pics.
    You can see that that the Kids profile is at the top.  Hosts that are not specified in that profile should skip it and hit the default second profile.

    That is not what happens.  All hosts seem to be accepting the Kids profile.

    Chris
  • Check the web filtering log.  Do the IPs for these devices logged in the requests match what you've set in the host definition objects?  If using DHCP, I'm wondering if their IPs have changed.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1