Author Topic: Problemas y mas problemas...  (Read 5138 times)

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Problemas y mas problemas...
« on: February 27, 2011, 07:39:31 pm »
Hola buenas tardes!

Llevo 2 dias trasteando con Zentyal, y a pesar de que me he comprado el libro de 61 pavazos, no consigo realizar lo que quiero.

Comenté en este post (http://forum.zentyal.org/index.php?topic=6190.0) que necesito tener el tema de la red muy controlado en mi trabajo.

He instalado Zentyal, lo he configurado mas o menos y he hecho que sea el propio Zentyal quien dé internet a un par de ordenadores que tengo aqui para realizar pruebas.

Tengo los siguientes problemas:

1º- Desde otro ordenador que no sea el propio servidor Zentyal no puedo acceder al panel vía web

2º- He creado unas reglas en el Proxy para que ciertos ordenadores no tengan acceso a Internet por ejemplo un Lunes. Funciona, pero si el usuario se cambia la IP del ordenador puede saltar facilmente esta reestricción... ¿Cómo se soluciona?

3º- He creado en Objetos he añadido un grupo y dentro de él, he creado 2 miembros (los dos ordenadores que están conectados a Zentyal).

Desde el Proxy HTTP, he intentado de miles de formas limitar la conexión a Internet de esos ordenadores. Es decir, tenemos ONO 50MB y yo quiero que esos ordenadores solamente tengan 5Mb de Internet. ¿Cómo se hace?

4º- He probado que se puede cortar la conexión a Internet, pero sin embargo, solamente limita la navegación. Es decir, si tenemos instalado el MSN, Filezilla o el Putty (para conectarnos al SSH de algún servidor) no lo limita... ¿Cómo se hace?

5º- Aunque ya lo he preguntado varias veces en estos foros y me han respondido, no he podido limitar a ciertos ordenadores la velocidad de Internet. He probado eso de los "Delay Pools" pero no me ha funcionado.

6º- Cómo puedo bloquearle a una IP algunos puertos? Es decir, si al ordenador con la IP 192.168.10.140 quiero bloquearle el puerto 21 para el FTP, cómo se hace?

Muchas gracias de antemano :)

sruedat

  • Zen Monk
  • **
  • Posts: 73
  • Karma: +1/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #1 on: February 27, 2011, 11:22:31 pm »
Te respondo a los puntos que me acuerdo de memoria porque ahora mismo no estoy en el curro y no puedo mirarlo todo:

1º) Tienes que añadir la regla en las opciones de cortafuegos... decir desde que equipo puedes acceder a la máquina zentyal

2º) ¿No dejando que los usuarios puedan cambiar la ip?... En serio, así a bote pronto, también puedes realizar el filtrado por la dirección MAC

3º) Algo estás haciendo mal porque los Delay Pools te aseguro que funcionan.

4º)Tienes que abrir o cerrar puertos en el cortafuegos

5º) Lo mismo que 3 ....Delay pools

6º) En las reglas de cortafuegos, si quieres hacerlo bien tienes que crear primero un objeto (rango de ips a controlar) y un servicio (puertos que a cortar)

ES MUY IMPORTANTE QUE PONGAS LAS REGLAS DE CORTAFUEGOS EN EL LUGAR CORRECTO!!!

Dos cosillas más sin que te las tomes a mal:

- Yo también tengo el libro, una subscripción y algún add-on mas... y me parece lo mínimo que puedo hacer para que este proyecto siga adelante porque como profesional de esto te aseguro que zentyal es una pasada...(no tengo nada que ver con ellos),pero me ha simplificado la vida y funciona de maravilla....Y ES GRATIS!!!! (si lo vendieran a 61pavos como dices aún me resultaría barato)

- No vale con comprarse el libro.... hay que leerlo.
« Last Edit: February 27, 2011, 11:24:27 pm by sruedat »

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #2 on: February 28, 2011, 12:16:24 am »
Primero que nada gracias por tu ayuda :)

A ver en cuanto a esto:

"2º) ¿No dejando que los usuarios puedan cambiar la ip?... En serio, así a bote pronto, también puedes realizar el filtrado por la dirección MAC"

Cómo haces que los usuarios no se puedan cambiar la IP?

He pensado en el filtrado por MAC, pero dónde se hace? Yo he añadido un miembro con su respectiva dirección IP y la MAC, pero no ha impedido que desde ese portatil me cambie la IP y pueda saltarme la reestricción...

Si no es así como se hace?

Respecto a los otros puntos mañana y pasado trastearé un poco mas a ver si poco a poco voy solucionando esas dudillas, aunque la que mas me interesa es la del punto 2 que comento arriba.

El libro..., pues si, sinceramente lo he leido muy poco ya que me gusta mas toquetear jeje, pero no, me lo voy a leer de arriba a abajo.

"Zentyal es una pasada", lo mismo digo! Aunque yo tenga algunas lagunas sobre como hacerlo funcionar, no lo cambio por nada!

sruedat

  • Zen Monk
  • **
  • Posts: 73
  • Karma: +1/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #3 on: February 28, 2011, 08:32:37 am »
Me imagino que esos usarios usan windows xp o algo anterior porque sino con vista es muy fácil...(yo sólo uso linux)..

En xp y anteriores:
http://www.laneros.com/showthread.php?p=1594692

Lo dicho si tienes alguna duda con un punto específico te lo miro desde el curro.


Un saludo.

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #4 on: February 28, 2011, 09:30:05 am »
Ah ya, pero eso me puede servir para las aulas de informática algunas cosas más, pero claro, hay una sala Wi-Fi en la que los alumnos traen sus portatiles para conectarse a Internet. (se comprende que si traen sus ordenadores personales no voy a ponerme uno por uno a bloquearles SU ordenador, ya que cuando lleguen a su casa y quieran conectarse a Internet o lo que sea alomejor tienen problemas...)

A este grupito de alumnos les he pedido la MAC y les he asignado una IP desde el servidor principal.

Eso no quita que ellos en sus propios ordenadores vayan a Configuración de red Wifi y se pongan una IP manual (se la inventan)

Dudas que me quedan solo 2:

1º- Como configurar el cortafuegos para acceder desde cualquier ordenador al panel de Zentyal?
(Me voy a Filtrado de paquetes, pero hay muchos apartados y me lio, no se cual elegir...)

2º- Como bloquearle un puerto específico a una IP/objeto.



Imagina que a Portatil1 quiero bloquearle el puerto 21 del FTP por ejemplo. Cómo se hace?

Ah y lo de limitar Internet (darle 12MB a Portatil1 y a Portatil2 darle 5MB) lo he probado pero nanai de la china.

Si lo consigo hacer funcionar bien, pero lo que mas me importa son los puntos 1 y 2 jeje.

Muchas gracias sruedat por tu ayuda, personalmente te digo que me estás haciendo un gran favor ;)
« Last Edit: February 28, 2011, 02:24:19 pm by ivanfernandez »

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #5 on: February 28, 2011, 02:38:35 pm »
Estimado con respecto al tema de las mac y las IPs, realizaló como dice sruedat, pero ademas bloquea en el firewalls todas las demás IPs que no tengas definidas y listo, pero esto seria una solución chapuzera como dicen los españoles, la solución adecuada seria definir 2 VLANs una para equipos controlados, aulas informáticas, y otra para invitados, red wifi, donde la a red wifi definas las reglas de control de trafico para todo el segmento sin necesitada de tener que saber las mac de estas.

Eso.
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #6 on: February 28, 2011, 08:38:58 pm »
Cabildocl no se si eso sería viable, ya que el aula que más necesitad tenemos para viligar es el aula Wifi, ya que cuando vienen los alumnos con sus portatiles hacen cosas que no deben, como descargarse música, peliculas o entrar en webs porno por ejemplo.

Al resto de ordenadores, esta bien tenerlos controlados, pero són los que menos problemas dán, ya que cuando los alumnos tienen acceso a estos ordenadores, normalmente hay un profesor explicando y controlando a los alumnos, así que es menos probable que pongan a descargarse música, peliculas o accediendo a webs no permitidas...

Lo de limitar las IP's que queden libre lo veo una buena idea. Lo malo es que si se inventan una IP, y justamente esa IP está siendo usada por otro equipo (ocurre muuuy a menudo), a este equipo le sale el típico error de "IP duplicada" y lo deja sin internet... jeje

Este es un tema lioso en verdad...

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #7 on: February 28, 2011, 09:58:42 pm »
Pero en la VLAN wifi solo permite lo necesario o sea navegación web y con el proxy activado y bloqueando las categorías de contenido que tu creas necesario y listo, no necesitas vigilarlos solo bloquea todo, y si alguien por algún motivo necesita algo especial habilitalo por el tiempo necesario.
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

eaguade

  • Zen Apprentice
  • *
  • Posts: 23
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #8 on: February 28, 2011, 10:37:59 pm »


"2º) ¿No dejando que los usuarios puedan cambiar la ip?... En serio, así a bote pronto, también puedes realizar el filtrado por la dirección MAC"

Cómo haces que los usuarios no se puedan cambiar la IP?

He pensado en el filtrado por MAC, pero dónde se hace? Yo he añadido un miembro con su respectiva dirección IP y la MAC, pero no ha impedido que desde ese portatil me cambie la IP y pueda saltarme la reestricción...

Si no es así como se hace?


Wenas Ivan!

Dejame hacer-te una pregunta, el wifi lo tienes configurado con un accesspoint o es el router directamente?
  - En el caso de que sea por un accesspoint (Mucho mejor si es así) puedes configurar para que si alguien se quiere conectar por ese punto de acceso tenga que hacer-lo con un rango de IP's determinado, si ponen a mano otro, que el punto de acceso lo bloquee.

 - Otra manera seria hacer que el punto de acceso este en otra subred ( si tu red es 192.168.2.1 que sea 192.168.2.255) y desde el servidor configurar en el Firewall que esa subred tenga determinados puertos abiertos.

Estos serian los caminos que seguiría yo, ahora si eliges otro te agradeceria que nos lo explicarás para ampliar conocimientos!

Saludos!
Siempre queremos lo que no tenemos ¿Entonces no tengo ningún conocimiento?

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #9 on: February 28, 2011, 10:51:22 pm »
Ok gracias eaguade!

Voy a ir barajando ideas, ya que me habeis propuesto varias. Si supiera hacer funcionar el firewall como toca (que no tengo ni P.I), crearia una red especial para esta determinada aula que fuera del tipo 192.168.30.1 y solamente permitir que 10 Ip's puedan navegar por Internet (1,2,3,4,5,6,7,8,9 y 10), al resto de IP's bloquearlas totalmente.

Pero en la VLAN wifi solo permite lo necesario o sea navegación web y con el proxy activado y bloqueando las categorías de contenido que tu creas necesario y listo, no necesitas vigilarlos solo bloquea todo, y si alguien por algún motivo necesita algo especial habilitalo por el tiempo necesario.

mmm es una idea. Aunque digamos que a ese rango de ip's les bloqueo determinadas webs y puertos. Si por ejemplo uno de ellos se mete en Ninjacloack (proxy para internet) ya no puedo verlo, pillarlo y meterle un paquete (una falta grave).

Sabeis cual es el principal fallo? Que no tengo ni idea de como funciona el firewall de Zentyal. Si me meto en el apartado de Cortafuegos, me salen varias opciones (de redes externas a internas, de Zentyal a redes internas, etc, etc, etc) y me pierdo.

Si supiera como funciona habilitaría dentro de la red 192.168.30.0 solamente 10 ips con permiso para navegar por internet. Así si intentan ponerse la ip 192.168.30.123 ya no funcionaria.

eaguade

  • Zen Apprentice
  • *
  • Posts: 23
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #10 on: February 28, 2011, 11:27:03 pm »

Sabeis cual es el principal fallo? Que no tengo ni idea de como funciona el firewall de Zentyal. Si me meto en el apartado de Cortafuegos, me salen varias opciones (de redes externas a internas, de Zentyal a redes internas, etc, etc, etc) y me pierdo.

Si supiera como funciona habilitaría dentro de la red 192.168.30.0 solamente 10 ips con permiso para navegar por internet. Así si intentan ponerse la ip 192.168.30.123 ya no funcionaria.

Buenas Ivan,

Lo de la subred creo que es más fácil de lo que te imaginas, para que veas por donde van las cosas te hago un mini-manual de lo que creo que seria lo que pides.
  1-Vas al apartado de Firewall
  2-En el apartado de Desde redes Internas a Zentyal
  3- Añadir regla ....
  4- Eliges la opción Denegar.
  5- En el siguiente campo eliges I.P. de origen, i en la TextBox introduces la red que quieres filtrar, en tu caso por ejemplo 192.168.30.0 y la mascara 24.
  6-Entonces eliges el servicio HTTP y también Coincidencia inversa, de manera que deniegas todo menos el puerto 80, navegación.
 
Y con ya tienes una subred con todo capado y a no ser que tus alumnos tengan mucho futuro para hacker's no deberían pasar por encima de eso, jeje

Espero que te sirva,
  Enric Aguadé
Siempre queremos lo que no tenemos ¿Entonces no tengo ningún conocimiento?

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #11 on: March 01, 2011, 08:33:21 pm »

Sabeis cual es el principal fallo? Que no tengo ni idea de como funciona el firewall de Zentyal. Si me meto en el apartado de Cortafuegos, me salen varias opciones (de redes externas a internas, de Zentyal a redes internas, etc, etc, etc) y me pierdo.

Si supiera como funciona habilitaría dentro de la red 192.168.30.0 solamente 10 ips con permiso para navegar por internet. Así si intentan ponerse la ip 192.168.30.123 ya no funcionaria.

Buenas Ivan,

Lo de la subred creo que es más fácil de lo que te imaginas, para que veas por donde van las cosas te hago un mini-manual de lo que creo que seria lo que pides.
  1-Vas al apartado de Firewall
  2-En el apartado de Desde redes Internas a Zentyal
  3- Añadir regla ....
  4- Eliges la opción Denegar.
  5- En el siguiente campo eliges I.P. de origen, i en la TextBox introduces la red que quieres filtrar, en tu caso por ejemplo 192.168.30.0 y la mascara 24.
  6-Entonces eliges el servicio HTTP y también Coincidencia inversa, de manera que deniegas todo menos el puerto 80, navegación.
 
Y con ya tienes una subred con todo capado y a no ser que tus alumnos tengan mucho futuro para hacker's no deberían pasar por encima de eso, jeje

Espero que te sirva,
  Enric Aguadé

Tiene buena pinta Enric, llevo tocando desde hace 1 hora pero no funciona :(

Me voy a Cortafuegos>Filtrado de paquetes

Despues me dirijo a Reglas de filtrado desde las redes internas a Zentyal:



Bien, aquí he ido a Añade nuevo y lo relleno de la siguiente forma:



Pues bien, me voy al portatil (IP 192.168.10.55) y Google sigue cargando perfectamente...

Bug?

Muchas gracias por la ayuda


J. A. Calvo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1986
  • Karma: +67/-3
    • View Profile
    • http://blogs.zentyal.org/jacalvo
Re: Problemas y mas problemas...
« Reply #12 on: March 01, 2011, 09:06:33 pm »
Deberías añadir la regla en "Redes internas", lo de "Redes internas hacia Zentyal" es para permitir o denegar servicios de la propia Zentyal, lo cual no es el caso de google, que está en Internet ;)
Zentyal Server Lead Developer

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #13 on: March 01, 2011, 09:26:05 pm »
Deberías añadir la regla en "Redes internas", lo de "Redes internas hacia Zentyal" es para permitir o denegar servicios de la propia Zentyal, lo cual no es el caso de google, que está en Internet ;)

Ok. Bien, entonces ahora me he ido a "Reglas de filtrado para las redes internas"



Así en "teoria" debería estar bloqueandole al ordenador cuya ip es 192.168.10.55 el acceso http (es decir, internet, google, tuenti y todo lo que esto engloba).

No?

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Problemas y mas problemas...
« Reply #14 on: March 01, 2011, 09:36:01 pm »
Edito:

Rectifico esto:

"http (es decir, internet, google, tuenti y todo lo que esto engloba)."

No Internet en sí, sino la navegación web.

Bien con esa regla tengo lo siguiente.

Google carga perfectamente, tuenti, facebook, etc, etc.

Ahora bien, lo que són páginas https no cargan. El ftp tampoco funciona (filezilla no se conecta a un servidor), el Putty/ssh tampoco conecta con un servidor.

Si le he dicho que bloquee el http, porqué me bloquea ftp, ssh, https y el http no?
« Last Edit: March 01, 2011, 10:06:55 pm by ivanfernandez »