Author Topic: [Solucionado]Proxy siempre en modo transparente  (Read 2910 times)

jopeme

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +0/-0
    • View Profile
[Solucionado]Proxy siempre en modo transparente
« on: May 20, 2014, 12:44:19 pm »
Hola.
Ya me habia ocurrido con zentyal 3.2 y ahora estoy con la version 3.3.10. El caso es que por defecto siempre marco que el proxy funcione en modo transparente y no se me habia ocurrido probar en modo no transparente. Bueno, pues lo dicho desmarco la opcion de modo transparente y desde un cliente con ip dentro del rango de la ip interna del servidor, con puerta de enlace la ip interna del servidor y con dns como ip interna del servidor y me deja navegar sin configurar en el navegador la ip del proxy.

Alguna idea?
« Last Edit: May 23, 2014, 09:00:05 pm by Escorpiom »

jopeme

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +0/-0
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #1 on: May 20, 2014, 02:31:01 pm »
Se me ocurre que tengo las reglas del firewall tal y como vienen por defecto. Tendria que modificar algo?

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #2 on: May 20, 2014, 10:14:22 pm »
Asi es.
Proxy no-transparente significa que debes configurar manualmente las aplicaciones Internet (navegadores etc.) en el equipo cliente.
Si deseas usar un método diferente con el archivo wpad, hay una explicación de Christian, esta en el foro Ingles.

Saludos.
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

jopeme

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +0/-0
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #3 on: May 21, 2014, 08:53:34 am »
Ya se que en modo no transparente hay que indicar en las aplicaciones cliente el proxy y el puerto, pero lo que digo es que aunque seleccione en zentyal que no sea transparente, los clientes pueden navegar sin indicar proxy y puerto.

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #4 on: May 21, 2014, 08:16:38 pm »
Bueno, ahora en las reglas de cortafuego, elimina la regla que dice "acceptar todo".

Saludos.
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

jopeme

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +0/-0
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #5 on: May 22, 2014, 10:58:02 am »
Imagino que te refieres a las que están en  "Trafico saliente de zentyal". De todas formas las modificaciones no deberían ser automáticas ? Es decir, al activar o desactivar el modo transparente no debería ser zentyal quien hiciera los cambios en el firewall de forma automática? Y por otra parte, por defecto la opción de proxy transparente viene desmarcada, luego no habría que tocar nada según entiendo yo.


Gracias.
« Last Edit: May 22, 2014, 11:36:38 am by jopeme »

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #6 on: May 22, 2014, 07:09:29 pm »
No, me refiero a las reglas del trafico entre redes internas y hacia el internet. Hazlo y te funcionara bien.

Saludos.
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

jopeme

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +0/-0
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #7 on: May 23, 2014, 09:45:06 am »
Ante todo muchas gracias Escorpiom.
Efectivamente si borro esas reglas:  "Reglas de filtrado desde zentyal hacia internet" y desde "Reglas de filtrado para Redes internas" entonces solo se puede navegar si en el cliente se indica la dirección del proxy y el puerto. Si marco proxy transparente entonces no se navega salvo que vuelva a activar las reglas en el firewall. Algo a mi modo de ver incoherente, porque si al instalar zentyal por defecto no esta marcada la opción de proxy transparente entonces tendría que funcionar directamente solo en modo no transparente y sin embargo es al revés.
Esto no era mas que una prueba para mi porque en realidad yo si quiero que funcione en modo transparente lo que ocurre es que tampoco me hace su función el modulo de moldeado de trafico para bloquear el p2p y después de probar el modulo IPS tampoco me hace esta función de bloqueo de p2p.
Por tanto mi pregunta final a ver si alguien me puede iluminar es ¿ que pasos debo seguir para que funcione el proxy en modo transparente y que pueda bloquear el trafico p2p?


De nuevo muchas gracias.

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Proxy siempre en modo transparente
« Reply #8 on: May 23, 2014, 08:59:25 pm »
Coherente si.

Zentyal es un sistema modular.
Squid proxy es opcional. Al instalar Zentyal, no es obligatorio instalar el modulo proxy.
Si elegimos la instalación SIN el modulo proxy, tendremos conexión a internet con la regla en el cortafuegos.

Instalando el modulo Squid proxy requiere cambiar esta regla, algo que me parece logico pero puede ser no tan obvio para principiantes.

En cuanto a tu pregunta del bloqueo p2p, deberías abrir un tema nuevo. De antemano puedo decirte que el proxy transparente solo intercepta trafico http (puerto 80),
aplicaciones p2p se manejan a nivel de cortafuegos y no a nivel del proxy. No te confundes.
 
Voy a marcar este tema como solucionado.

Saludos.
 
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

menavas

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: [Solucionado]Proxy siempre en modo transparente
« Reply #9 on: May 24, 2014, 10:30:20 pm »
Buenas tardes, estoy mas o menos en la misma linea del amigo, segun entiendo la unica forma de filtrar el trafico por grupos de AD es a traves del proxy, estoy en lo cierto? y que tal si quiero filtrar quien se conecte con aplicativos que usen puertos diferentes al http?,

Saludos

jbahillo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1444
  • Karma: +77/-2
    • View Profile
Re: [Solucionado]Proxy siempre en modo transparente
« Reply #10 on: May 25, 2014, 06:51:10 pm »
Hola:
Si es tráfico HTTP y el puerto es diferente del 80, y usas proxy transparente, no podrás filtrarlo (necesitarás para ello añadir una regla en el firewall que redirija las conexiones cond estino ese puerto, al puerto del proxy en la Zentyal
Si el tráfico es HTTPS, no podrás gestionarlo con un proxy transparente.

Si el tráfico no es ninguno de los dos (ejemplo p2p encapsulado sobre https) no podrás gestionarlo con el proxy

menavas

  • Zen Apprentice
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: [Solucionado]Proxy siempre en modo transparente
« Reply #11 on: May 26, 2014, 02:30:33 am »
y si no puedo gestionarlo con proxy, como podria hacerlo basandome en grupos de AD?, saludos y gracias

jopeme

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +0/-0
    • View Profile
Re: [Solucionado]Proxy siempre en modo transparente
« Reply #12 on: May 26, 2014, 09:02:58 am »
Entonces según entiendo yo y que seguramente es poco. ¿De que sirve instalar por ejemplo el modulo "Traffic Shaping" si no va realizar bien su función salvo que modifique yo las reglas en el firewall? ¿De que sirve marcar la opción de proxy transparente en squid si prevalecen las reglas del firewall ? No deberían ser cambiadas automáticamente por estos módulos al activarlos?

Perdón por mi ignorancia, pero me tiene un poco descuadrado el tema.

Saludos.

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: [Solucionado]Proxy siempre en modo transparente
« Reply #13 on: May 27, 2014, 04:57:42 am »
La verdad es, a mi me tiene descuadrado el tema desde que empecé con distros Linux para cortafuegos / gateway.
Explico: He probado varios distros como Zeroshell, ClearOS, Astaro y otros que no me recuerdo...
Todos tienen el mismo mal, con proxy transparente no funciona traffic shaping.
No se puede bloquear ciertas paginas, sin hacer trucos extensos con reglas el cortafuegos.

Digo, no es algo propio de Zentyal, mas bien la forma en que Linux + Squid + iptables funcionen juntos.
Ayer fui a mirar la pagina de ClearOS si de pronto habían encontrado una solución a este inconveniente, y apenas decía
"Hay progreso"...Significa que aun no hay una forma fácil de hacer lo que queremos.

Dicho eso, un servidor/gateway/proxy como lo es Zentyal requiere un poco de trabajo para configurarlo correctamente.
Para mi, como todo lo que huele a Linux, es trabajo en progreso.

Saludos.       
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...