Denegar Navegación sin Proxy

[davidaortizo]

Qué debo hacer para denegar la navegación en internet a los usuarios que no tienen proxy? Ya tengo configurado el internet por proxy, tengo las reglas y los perfiles de filtrado configurados y funcionando, pero me está ocurriendo que si el usuario tiene conocimiento y sabe desactivar el proxy, inmediatamente queda con navegación libre sin restricciones.

Como puedo hacer para restringir el internet de manera que solo sea posible acceder a internet usando proxy y que este a su vez me pida autenticación para poder asignar los permisos de navegación por grupos.

De antemano muchas gracias por la atención prestada.

[jbahillo]

Deniega la salida desde redes internat hacia el puerto 80 y 443, de ese modo nopodran navegar sin pasar por el proxy

[davidaortizo]

En reglas de filtrado para redes internas de Zentyal 3.0 no encuentro como bloquear puertos, la regla que tiene por defecto dice: Decisión=Aceptar, Origen=Cualquiera, Destino=Cualquiera, Servicio=Cualquiera, esta regla la puedo eliminar o modificar pero no me deja establecer el puerto o los puerto que quiero bloquear.

Las opciones que me muestra al editar la regla en origen son: Cualquiera, IP Origen, MAC de Origen y Objeto de Origen, en ninguna de estas opciones me deja configurar un puerto, para decirla que solo me reciba el trafico proveniente de ese puerto.

Cuál es la opción o que más tengo que configurar para que me deje hacer esto.

Muchas Gracias por la ayuda.

[jbahillo]

Hola David:

Lo que definas en "Servicio" es lo que definira el puerto.

Saludos

[davidaortizo]

En servicios cree uno nuevo de nombre Internet con: Protocolo=TCP, Puerto Origen=8081, Puerto Destino=Cualquiera.

Reglas de filtrado para redes internas, tengo esta configuración: Decisión=Aceptar, Origen=Cualquiera, Destino=Cualquiera, Servicio=Internet.

Pero aun con esto no me deniega la navegación sin proxy.

Qué más puedo hacer y de antemano muchas gracias jbahillo

[jbahillo]

Efecitivamente... la navegacion se efectua con puerto destino 80, no con puerto origen (el puerto origen es un puerto dinamico y es complicado de saberlo)


Por tanto debes cerar una regla con origen (un objeto que represente tu red interna) destino cualquiera y servicio puerto 80. Asi deniegas el acceso WWW sin pasar por el proxy.

Recuerda que deberas hacer los mismo con un servicio que tenga el puerto 443 como destino, para bloquear HTTPS

[davidaortizo]

En objetos cree un objeto de nombre: Obj-Internet, en miembros tengo: Nombre=Rango DHCP, Dirección IP= 172.16.50.100 – 172.16.50.200, Dirección MAC = ---

En servicios cree uno nuevo de nombre Internet con: Protocolo=TCP, Puerto Origen=Cualquiera, Puerto Destino=80.

Reglas de filtrado para redes internas, tengo esta configuración: Decisión=Aceptar, Origen=Obj-Internet, Destino=Cualquiera, Servicio=Internet.

Ya tengo corriendo esta configuración y aun no me bloquea el tráfico sin proxy.

Se supone que de esta forma debería bloquear el acceso a las web WWW y que para bloquear los demás puertos debo crear más reglas de filtrado y servicios donde especifique el bloqueo del puerto de destino?

si esto no me funciona tendré otro problema? tengo que reiniciar el servicio? reiniciar el servidor?

Gracias por la ayuda.

[jbahillo]

Es la zentyal el gateway de la red? si lo es, con esa configuracion, deberia estarte ya bloqueando el trafico web saliente que no pase por el proxy

[davidaortizo]

Efectivamente mi direccionamiento estas así:

Servidor Zentyal: 172.16.50.10
Proxy trasparente= Desactivado
Habilitar Single Sign-On (Kerberos)= Habilitado
Bloqueo de Anuncios= Habilitado
El puerto para el Proxy es el 8081

DHCP Equipos de la red: 172.16.50.100 – 172.16.50.200 Mascara 24 y puerta de enlace 172.16.50.10

Según eso como tengo configurado todo me debería estar funcionando?

Intentare crear las demás reglas a ver qué pasa.

Muchas gracias por la ayuda

[davidaortizo]

Perfecto solucionado una parte, era solo cuestión de reiniciar el servidor

Ahora tengo otro problema con esta solución efectivamente con la creación de la regla de filtrado para redes internas se solucionó la navegación sin proxy, ya nadie podía navegar sin tener activado el proxy, ahora el problema me lo está presentando con los correos, al parecer con esta regla de filtrado también denegué el acceso de correo entrante y saliente, intente crear otra regla donde permitía el acceso de correo entrante y otra regla para el correo saliente, pero el resultado no fue positivo, el correo quedo lento en todos los computadores y fallando si envía correos no recibe y viceversa.

En resumidas cuentas tuve que quitar de nuevo las reglas de filtrado para impedir la navegación sin proxy para que el correo funcionara sin problemas.

Que puedo hacer con el tema del correo es normal que con estas reglas se bloquee el correo, están mal elaboradas las reglas o hay que habilitar por otra parte el tema de los correos?

Muchas gracias por la ayuda

[jbahillo]

Hola:

Bloqueando el puerto 80 /443 no deberias tener ningun problema de correo bloqueado, a no ser que algun servicio de correo use esos puertos.

Saludos

[davidaortizo]

Eso es lo más extraño al momento de aplicar estas reglas de filtrado los correos de todos los usuarios que por cierto todos manejan Outlook 2010 comienzan a fallar, algunos dejan enviar otros dejan de recibir o las dos, el hecho es que quito estas reglas y problema solucionado en de los correos.

También intente con las reglas que trae predeterminada el Zentyal para el correo las configure para que dejaran enviar y recibir todo lo proveniente de correo, y no funcionaron.

No sé qué más hacer para solucionar este problema.

[jbahillo]

Hola:

Creo que lo primero es saber con que protocolos estas trabajando: usan esos Outlook POP3, IMAP, Exchange/Zarafa Outlook Connectors?



Si usan la ultima opcion, has configurado el proxy en el outlook? Si no recuerdo mal, Exchange funciona sobre HTTP.


Un saludo

[davidaortizo]

Tengo configurados los Outlook, con POP3
Que tengo que habilitar o deshabilitar para que me permita el envió y recepción de correos?

Muchas gracias por la ayuda.

[davidaortizo]

En objetos cree un objeto de nombre: (Obj-Internet), en miembros tengo: Nombre= (Rango DHCP), Dirección IP= 172.16.50.100 – 172.16.50.200, Dirección MAC = ( ---  )

En servicios cree uno nuevo de nombre = (Internet 80) con: Protocolo= (TCP), Puerto Origen= (Cualquiera), Puerto Destino= (80).

En servicios cree uno nuevo de nombre = (Internet 443) con: Protocolo= (TCP), Puerto Origen= (Cualquiera), Puerto Destino= (443).

En filtrado de paquetes – Redes internas, tengo:

Reglas de filtrado para redes internas, tengo esta configuración:
1.   Decisión= (Aceptar), Origen= (Cualquiera), Destino= (Cualquiera), Servicio= (Correo Entrante).
2.   Decisión= (Aceptar), Origen= (Cualquiera), Destino= (Cualquiera), Servicio= (Envió de Correo).
3.   Decisión= (Aceptar), Origen= (Cualquiera), Destino= (Cualquiera), Servicio= (SMTP).
4.   Decisión= (Aceptar), Origen= (Obj-Internet), Destino= (Cualquiera), Servicio= (Internet 80).
5.   Decisión= (Aceptar), Origen= (Obj-Internet), Destino= (Cualquiera), Servicio= (Internet 443).

Aun con estas reglas me sigue bloqueando el correo.
Que puedo hacer para solucionar este problema.

Suponiendo que ya tengo bloqueada la navegación sin proxy como puedo hacer para habilitar una IP, de forma que el usuario de esta dirección pueda navegar sin restricciones de Proxy?

gracias por la ayuda.