Author Topic: problema serio con navegacion segura (RESUELTO)  (Read 5199 times)

Rortin

  • Zen Warrior
  • ***
  • Posts: 123
  • Karma: +0/-0
    • View Profile
problema serio con navegacion segura (RESUELTO)
« on: March 01, 2011, 12:13:35 pm »
Buenos días:

La verdad es que he leído el foro por todas partes y no encuentro la solución.
Primero de todo os pongo mi configuración para ver si tengo algo mal:

configuración de redes:

configuración del eth0 como interno e ip 10.12.54.171 y una vlan de tipo 192.168.199.x
configuración del eth1: no configurado.

Servicios:  Servicio https, configuracion como externo y con el puerto 443  como desde cualquier puerto a puerto 443.

Proxy http: configurado como transparente.

Firewall:  creada una regla en Reglas de filtrado para las redes internas  con configuración cualquiera/cualquiera y el servicio https.


Teniendo esta configuración no hay manera de tener acceso a las webs tanto de google (Gmail, docs,..), como por ejemplo a tuenti ... es decir a ninguna que utilice el protocolo https.

Ya no se me ocurre que probar.

Por favor necesito ayuda urgente.

Muchas gracias.


« Last Edit: March 04, 2011, 09:20:07 am by Rortin »

Rortin

  • Zen Warrior
  • ***
  • Posts: 123
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #1 on: March 01, 2011, 01:13:59 pm »
viendo el log del firewall me sale esto:

Source                   Destination    Protocol    Source port    Destination port    Decision
192.168.199.155 192.168.199.1          TCP          50571                   389           DROP


he añadido la regla de que deje pasar tambien al puerto 389 y sigue saliendo lo mismo.

J. A. Calvo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1986
  • Karma: +67/-3
    • View Profile
    • http://blogs.zentyal.org/jacalvo
Re: problema serio con navegacion segura
« Reply #2 on: March 01, 2011, 01:53:04 pm »
El puerto 389 es de LDAP, no esta relacionado y no es necesario que lo abras si no estas usando Master/Slave o similar.

Que configuracion tienes en el firewall en la sección de "Internal networks" ? Dices que has puesto el servicio https como externo, pero para el problema que te afecta, que es de navegación, lo que tienes que comprobar es la configuración del cortafuegos para las redes internas, que es desde donde intentas acceder.
Zentyal Server Lead Developer

Rortin

  • Zen Warrior
  • ***
  • Posts: 123
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #3 on: March 01, 2011, 02:29:30 pm »
Code: [Select]
Que configuracion tienes en el firewall en la sección de "Internal networks" ?
Pues dentro de la sección Reglas de filtrado para las redes internas tengo:

https, pop3 y any.

Dentro de la sección Reglas de filtrado desde las redes internas a Zentyal: estan los de por defecto.

Entonces debo poner el servicio como interno??, tambien lo he probado y no funciona.
Te paso por mail el informe de configuración.

Para que te hagas una idea, estoy tratando de comprar el libro de administración y no puedo acceder a la tienda.

Gracias.

Rortin

  • Zen Warrior
  • ***
  • Posts: 123
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #4 on: March 02, 2011, 12:22:11 pm »
puede ser que todo esto no funcione porque solo utilizo una interfaz de red??
Debo añadirle otra tarjeta de red al sevidor que solo tiene una???



Rortin

  • Zen Warrior
  • ***
  • Posts: 123
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #5 on: March 02, 2011, 12:36:11 pm »
lo que no entiendo:

He agregado una regla para que bloquee el trafico http en un puesto, y no hace absolutamente nada, el puesto se sigue conectanod.

De igual manera si pongo que el proxy no sea transparente, aunque ponga la regla de trafico http, no permite navegar.

Es como si el firewall funcionara y no hiciera el más minimo caso de las reglas.

J. A. Calvo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1986
  • Karma: +67/-3
    • View Profile
    • http://blogs.zentyal.org/jacalvo
Re: problema serio con navegacion segura
« Reply #6 on: March 02, 2011, 01:09:06 pm »
Viendo tu configuración, el orden no parece correcto.

Si tienes puesta la regla de aceptar todo la primera de todas, el resto de reglas de bloqueo no te van a funcionar. Una vez que se aplica una regla no se sigue mirando el resto.

Un saludo.
Zentyal Server Lead Developer

Rortin

  • Zen Warrior
  • ***
  • Posts: 123
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #7 on: March 02, 2011, 01:21:08 pm »
entonces si quiero que puedan navegar por http, https, pop3 y ftp...

¿Que reglas debo poner?

Muchas gracias.

J. A. Calvo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1986
  • Karma: +67/-3
    • View Profile
    • http://blogs.zentyal.org/jacalvo
Re: problema serio con navegacion segura
« Reply #8 on: March 02, 2011, 01:44:47 pm »
Pues reglas para permitir esos protocolos y al final una regla de Denegar cualquier otro protocolo (con el servicio any).
Zentyal Server Lead Developer

Rortin

  • Zen Warrior
  • ***
  • Posts: 123
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #9 on: March 02, 2011, 02:03:26 pm »
pero entonces tengo que poner que el proxy no sea transparente. verdad?

Y el orden es de arriba a abajo, poniendo abajo del todo la de bloqueo total, no??

J. A. Calvo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1986
  • Karma: +67/-3
    • View Profile
    • http://blogs.zentyal.org/jacalvo
Re: problema serio con navegacion segura
« Reply #10 on: March 02, 2011, 03:51:50 pm »
Sí, el orden es de arriba abajo. En cuanto al proxy transparente, sólo afecta al tráfico HTTP, no al resto de  protocolos (https, pop3, etc).
Zentyal Server Lead Developer

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #11 on: March 02, 2011, 04:55:01 pm »
Sí, el orden es de arriba abajo. En cuanto al proxy transparente, sólo afecta al tráfico HTTP, no al resto de  protocolos (https, pop3, etc).

J. A. Calvo quieres decir que si tenemos el proxy transparente activado y configurando el firewall como dices arriba, no bloqueará el HTTP?


J. A. Calvo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1986
  • Karma: +67/-3
    • View Profile
    • http://blogs.zentyal.org/jacalvo
Re: problema serio con navegacion segura
« Reply #12 on: March 02, 2011, 04:59:55 pm »
El proxy tiene su propia configuración de "Object policy" para permitir o denegar. La del firewall de internal networks es para cuando los clientes acceden directamente a Internet, pero cuando se usa proxy transparente es realmente Zentyal quien accede a internet, y los clientes acceden únicamente al servidor Zentyal para obtener copias locales cacheadas de las páginas.
Zentyal Server Lead Developer

ivanfernandez

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: problema serio con navegacion segura
« Reply #13 on: March 02, 2011, 06:03:46 pm »
El proxy tiene su propia configuración de "Object policy" para permitir o denegar. La del firewall de internal networks es para cuando los clientes acceden directamente a Internet, pero cuando se usa proxy transparente es realmente Zentyal quien accede a internet, y los clientes acceden únicamente al servidor Zentyal para obtener copias locales cacheadas de las páginas.

Vale entonces quieres decirme que para bloquear la navegación (http) la regla de denegación al servicio http tenemos que añadirla desde Cortafuegos>Filtrado de paquetes y en Reglas de filtrado desde las redes internas a Zentyal?

Yo ahora mismo he puesto una regla ahí dentro para bloquearle a un ordenador la navegación de la siguiente manera:

Decisión: DENY
Origen: IP origen -> 192.168.10.55 / 32 (la ip del portatil que quiero bloquear)
Servicio: http (inverse match lo tengo desmarcado)
Descripción: en blanco

No hay ninguna otra regla agregada, solamente esta. Pues no funciona. El ordenador sigue navegando perfectamente por Internet.

Ahora bien, lo que si se ha bloqueado ha sido el FTP, el SSH y las webs con HTTPS. Por que bloquea todo eso sin decirle nada y justamente el HTTP que es lo que queremos bloquear no lo bloquea?


J. A. Calvo

  • Zentyal Staff
  • Zen Hero
  • *****
  • Posts: 1986
  • Karma: +67/-3
    • View Profile
    • http://blogs.zentyal.org/jacalvo
Re: problema serio con navegacion segura
« Reply #14 on: March 02, 2011, 07:03:14 pm »
No, lo que quiero decir es que si usas proxy, tienes que configurar los bloqueos en el menu "Proxy HTTP -> Políticas de Objeto", no en el cortafuegos.
Zentyal Server Lead Developer