Bloqueo de Windows Live Messenger y P2P

[gcgu2]

Estoy implementando EBox en una red de una institucion educativa, se me presenta la necesidad de bloquear ciertos el acceso a Internet de Windows Live Messenger asi como programas P2P, ademas de bloquear algunos sitios web especificos (Redes sociales, etc). Buscando en la documentacion oficial, asi como leyendo varios posts en el foro todavia no logro definir cual es la manera correcta de llevar a cabo estas tareas, he visto varias sugerencias y metodos, algunas las he probado y no han funcionado, sin embargo me gustaria saber si en la experiencia de alguien de la comunidad ha logrado llevarlo a cabo de manera completa y sin ningun tipo de problemas, se que cada escenario es diferente, sin embargo algunos aspectos podrian considerarse genericos, por ejemplo en mi caso solo deseo llevar a cabo el bloqueo en equipos de la sala de computo, alumnos (portatiles), pero en el caso de algunas oficinas administrativas y de personal de IT deben tener acceso completo. Espero aportemos a este post y quede como una guia de configuracion para futuros administradores de EBox, incluso que lo aqui expuesto pueda publicarse como un HOWTO, claro, si los administradores lo permiten.

De antemano gracias y espero sus respuestas.

[eeguzmanb]

por lo ke he visto en firewall fierro ... primero se comienza por bloquear todo...


luego comienzas a dar permisos a lo que quieres tener accesso como Http Https Ftp ... etc etc

aun no configuro firewall en ebox pero pronto

[cabildocl]

Estimado esto se ha preguntado varias veces, por favor buscar en el foro.

[gcgu2]

Precisamente por este tipo de respuestas es que he decidido abrir este post, si te hubieras tomado la molestia de leer detenidamente mi post hubieras checado lo siguiente:


Buscando en la documentacion oficial, asi como leyendo varios posts en el foro todavia no logro definir cual es la manera correcta de llevar a cabo estas tareas, he visto varias sugerencias y metodos, algunas las he probado y no han funcionado, sin embargo me gustaria saber si en la experiencia de alguien de la comunidad ha logrado llevarlo a cabo de manera completa y sin ningun tipo de problema.

Digo esto porque en el foro mencionan varias formas de realizar lo que pregunto, sin embargo cada una de ellas tiene sus pros y sus contras, ademas de que no todas son totalmente efectivas. Al mencionar de que lo hayan implementado sin ningun tipo de problema, me refiero especificamente al hecho de que las soluciones no impacten de manera dramatica en el rendimiento del servidor, de igual forma no impacten en la tasa de transferencia y rendimiento  a los clientes de red, en pocas palabras, entre todos definir cual es la mejor manera de implementar estas politicas, evaluando todos los aspectos que involucra implementarlas, no solamente si les funciono o no. De hecho ya he implementado varias de las soluciones sugeridas en el foro, sin embargo, he notado algunos aspectos que no terminan de convencerme, en unos dias publicare un poco mas  a fondo una evaluacion tecnica de cada uno de estos metodos, lo mas completa posible, sin embargo supongo que hay muchas formas de evaluar cada una de estas politicas en el ambiente Linux, dentro del cual no estoy al 100% familiarizado. Cabe decir que no quiero que me digan como hacerlo, de hecho me he topado con varios problemas tecnicos los cuales he sacado adelante por cuenta propia, sin embargo la documentacion tecnica de Ebox es muy generica, y como mencione anteriormente los escenarios son muy variables.

[romherz]

saludos! igual como tu eh estado revisando y probando varias puntos, pero aun asi no me convence del todo, pero de alguna forma logre limitar el acceso a los usuarios del msn, de tal forma que defino por equipo quienes tienen acceso y cuales maquinas no, uso proxy NO transparente, primero creo un servicio en donde tengo los puertos a utilizar del msn, creo un objecto como "MSN Live" y agrego los equipos a los cuales quiero darles el servicio del MSN, en el modulo de firewall lo que hice fue agregar la regla pero negando el servicio, con esto gano a que nadie tenga servicio de msn, otro punto importante al usar proxy es que tienes que rechazar conexion http, por que si no, siguen conectados, recuerda que es por el firewall, entras al modo proxy y creas un nuevo objecto en donde agregas el objecto "MSN Live" (nota: guardas cambios cuando los tengas que hacer) ... ya si algun equipo que no tenga servicio de msn y lo requiera solo lo agregas al objecto, y ya todo deberia de funcionar, eso al menos me ha funcionado y sin problemas y eh hecho varias pruebas y con todas con resultado satisfactorio ... un saludo y pues a seguir experimentando .... bye

[rafsalber]

Bloqueo de messenger:
1º.- Crea un servicio llamado p.ej MSN y añade estos puertos:
TCP/UDP  6901      
UDP 5190    
TCP/UDP 6891:6900    
TCP/UDP 1863
2º.- En el firewall bloquea el servicio MSN
3º.- En el proxy añade este tipo MIME
application/x-msn-messenger
y lo bloqueas.


Bloqueo de P2P:
1º.-. Define los servicios de aquello que deseas permitir(ftp: 21 y 22,https: 443, vpn, etc.)
2º.-. En el firewall SOLO has de permitir esos servicios
Por si acaso yo he definido servicios con puertos que suelen utilizar los p2p y en firewall bloqueas esos servicios, aunque en principio esto no haría falta.

Redes Sociales:
1º.- Proxy HTTP/Filtrado de perfiles/Configuracion/pestaña Filtrado de dominios
2º.- Añades aqui todos los dominios(ojo, solo dominios, no direcciones web completas): facebook.com, twitter.com, etc.
3º.- Le aplicas a cada una de ella la politica(filtrar, permitir o denegar)

[pasquito]

Primeramente gracias por sus post que recien despues de mucho tiempo me ilustra el caso.

Tengo una pregunta ? por que estoy probando las sugerencias de ustedes.

- Primero indican que se debe de crear un servicio que indique los puertos de msn que se abriran para el acceso.
- Se crea un objeto donde estaran los usuarios (ip/mac) que tendran acceso.
- Esta detallado el proceso de bloqueo, de msn y p2p en el firewall creando las reglas de denegar las salidas.

Ahora en mi modesto entender creo que falta:
- Para habilitar a ese grupo de clientes privilegiados (objeto ya creado) que tendran acceso a msn y p2p se cree en el firewall las reglas de salidas aceptando solo a ese objeto. ¿o ya no es necesario crear esta regla?.

Espero su confirmacion.

Atte.
Oscar Zenteno

[rafsalber]

Si, has de crearla, pues por defecto el firewall lo está bloqueando para TODO el mundo.