[RESUELTO] Proxy no bloquea dominios.

[pive]

Hola a todos.

Estoy haciendo pruebas con Zentyal 3.4 y he configurado el DNS y las dos redes (LAN y WAN) y tengo un portáil como cliente de la LAN utilizando el servidor Zentyal como puerta de enlace. Al habilitar el Proxy transparente y una regla de filtrado donde prohibo facebook.com con umbral muy estricto y bloquear sitios por IP con decisión de denegar siempre no bloquea el acceso a las URL especificadas.

También he probado en las reglas de acceso a poner período siempre, origen cualquiera y decisión denegar todo pero sigue sin funcionar.

¿Alguien puede arrojarme un poco de luz en este tema?

Muchas gracias.

[djpablopol]

Hola pive.

Mira te explico un poco, el proxy transparente solo escucha el puerto (http)  o sea puerto 80 y 8080.
Hoy en dia la mayor parte de los sitios usa puerto seguro https (443) o se que el trafico se te escapa del filtro.
En mi empresa manejo muchos proxys y lo que usas no es muy viable, es lo que se llama enbrujar los DNS, yo ya lo probe y es una calentura de cabeza por el simple razon de :

Por ejemplo puedes bloquear Facebook por ip con el cortafuegos pero cuando quieras darte cuenta vas a tener minimo 30 bloqueos y solo de Facebook imaginate si queres como yo bloquear Youyube que tiene MUUUUUCHOS Servidores.
En conclucion no hay como un proxy bien configurado con un puerto unico (3128) con la ayuda del cortafuegos y adios problema.

Saluda atte Djpablopol

[klausneil]

Bueno aqui deberias crear un grupo con la lista con las direcciones ip de esos sitios y en el firewal en reglas de red local creas una quue rechhace toda conexion https al grupo que creaste; asi como te dijo djpablopol estas listas pueden ser  largas (en el caso de facebook son casi 11 y se renuevan periodicamente) otra seria que trabajes con una lista blanca de acceso y bloquees to trafico https. Saludos.

[hsalardi]

Hola, yo tuve el mismo problema y encontré dos soluciones posibles, utilicé la primera que describo:

Primera Solución:
1. Configurar el proxy como single-sign-on.
2. Crear mis reglas de acceso (por defecto el proxy cachea el puerto 80, 443 y otros cuando no es transparente), aquí puedes usar los grupos creados en tu AD.
3. Crear una GPO para configurar el acceso a internet de los clientes mediante el proxy, ademas de evitar que lo puedan cambiar.
4. Adicional a esto, como no todos los clientes van a iniciar sesión en el dominio, el firewall tiene habilitada la navegación a internet en donde personalizo unas reglas en el iptables para bloquear el acceso a las paginas bloquedas en el proxy, la regla de iptables es:  iptables –I FORWARD –p tcp –dport <xxx> -m iprange --src-range <rango de IPs> –m string --string ‘<dominio>’ --algo bm –j DROP
Los valores en negrilla son los que deberias cambiar.
Esto lo configuras en el archivo: /etc/zentyal/hooks/firewall.postservice
Lee esto para que entiendas que son los hooks: http://doc.zentyal.org/es/appendix-c.html#personalizacion-avanzada-de-servicios

Segunda solución:
1. Habilitar el proxy como transparente para el puerto 80
2. Paso 4 de la anterior, filtrando las paginas por el puerto 443.
El único inconveniente que he encontrado hasta ahora es que cuando los usuarios quieran ingresar a estas paginas simplemente el navegador les dirá que no encuentra la pagina luego de esperar varios segundos, no hay una pagina de bloqueo como en el proxy.

Saludos

[pive]

Hola, muchas gracias a todos.

El proxy lo uso transparente para no tener que configurar todos los equipos y así evitar que los visitantes y algún empleado de mi cliente con permisos administrativos cambie la configuración y deshaga lo hecho.

Finalmente he creado reglas de acceso y en el firewall he bloqueado las IP's. Sé que no es lo más "elegante" y quizá lo más efectivo pero al menos funciona. No quise tocar el DNS (cosa que en muchos foros se ve) ya que no todo el mudo tiene los mismos privilegios de conexión.

Yo creo que he hecho lo que más se podía hacer, pero aún así acepto cualquier sugerencia.

Muchas gracias de nuevo.