Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - lfgarrido

Pages: [1]
1
Hello!

Scenario:
Zentyal 4.0.6 as gateway 192.168.0.1 only as Transparent Proxy to filter navigation, the server has 3 network cards, an internal 192.168.0.1 and two external links with ISPs. For sites with https like facebook and youtube I'm using OpenDNS from my DHCP which is a Server 2008R2. For external access I'm using no-ip.org service.

I created the port forward from the external interface to internal IPs and works only from external, when I try to connect from the same lan didn't work.

So when I in same LAN, I musto to connect using local IP, if I use xxxx.no-ip.org didn't work.

Searching forum I found that this behavior is like a NAT and I need to get this right as a Nat loopback or Nat reflection, but I do not know how to do this in Zentyal, both in GUI and console.

You have experience with it to be able to help me? because the Notebooks of managers and directors are configured with applications and services to connect the xxxx.no-ip.org address to work both inside and outside the network, but I am now having to change to 192.168.0.XXX when they are in the company to be able to work.

2
Portuguese / Acessar Redirecionamento a partir da rede interna
« on: March 09, 2015, 03:32:23 pm »
Olá amigos!

Cenário:
Implantei um Zentyal 4.0.6 como gateway da rede 192.168.0.1 apenas com o intuito de agir como Proxy Transparente para filtrar a navegação e trocar de internet caso haja queda no link principal, o Servidor possui 3 placas de rede, uma interna 192.168.0.1, e duas externas com links da NET e GVT. Como uso proxy transparente para os casos de sites com https estou usando o opendns, para isso meu DHCP que fica em um Server 2008R2 está configurado pra setar os DNS das estações como sendo o do opendns. Para acesso externo configurei um endereço no serviço no-ip.org

Para os redirecionamentos externos tenho serviços como TS (3389), Openfire (5222 e 5223), Asterisk (5004-5100 e 10000-20000) entre outros...

Criei os redirecionamentos de portas partindo na interface externa do link da NET que é meu principal e apontei cada porta para os IPs internos específicos.

Funcionou direitinho, mas só partindo de fora da rede da empresa, quando conecto no endereço do DNS Dinâmino xxxx.no-ip.org de dentro da rede da empresa não consigo acesso.

Pesquisando no fórum notei que este comportamento é como se fosse um NAT e que eu preciso acertar isso como um Nat loopback ou Nat reflection, mas não sei como fazer isso no Zentyal, tanto na interface gráfica, quanto via console.

Vocês têm experiência com isso para poder me ajudar? pois os Notebooks dos gerentes e diretores estão com aplicativos e serviços configurados para conectar no endereço xxxx.no-ip.org para funcionar tanto de dentro da rede quanto de fora, mas hoje estou tendo que mudar para 192.168.0.XXX quando eles estão na empresa pra poder funcionar.

3
Portuguese / Re: Liberar Portas de E-mail no Firewall
« on: December 03, 2014, 06:24:53 pm »
Olá amigos, consegui resolver, foi só acrescentar a porta 53 (DNS) na liberação e os e-mails funcionaram de boa.

Abs.

4
Portuguese / [RESOLVIDO] Liberar Portas de E-mail no Firewall
« on: December 02, 2014, 02:30:44 pm »
Olá amigos, bom dia!

Instalei o Zentyal 4.0 pra testar, tenho 3 placas de rede, uma lan e duas wan, meu DHCP está no Servidor Windows e configurei ele pra distribuir as informações de proxy pela rede e funcionou perfeitamente, não preciso configurar nada nas estações e já passam pelas regras de filtragem do Proxy carregadas com a Shalla List.

Entretanto preciso liberar portas para que funcione os e-mails que parte dos usuários estão com Outlook e parte com Thunderbird, depois de dar uma lida aqui no fórum criei um novo serviço chamado Mail e adicionei as portas com origem qualquer e destinos portas únicas 110, 143, 995 e 587.

Depois fui em Firewall > Filtros de Pacotes > Regras de filtros para redes internas e criei a regra pra Permitir Qualquer Origem pra Qualquer Destino o Serviço Mail, mas não funciona, dá erro no Outlook.

Nesta mesma tela do Firewall caso eu mude o Serviço pra Qualquer, então funciona, será que preciso liberar mais portas?

O Gateway está corretamente como o Zentyal, o DNS está o do Google (creio que não faça diferença), o Proxy está configurado pro IP do Zentyal e porta 3128, porém creio que o Outlook não usa isso e passa direto.

Alguém pode me dar uma luz do que posso estar fazendo de errado pra corrigir este cenário?

5
Portuguese / Re: Controle HTTPS no Proxy Transparente ou Autenticado
« on: August 01, 2011, 04:33:48 pm »
Agora que deixei o Zentyal com apenas uma placa de rede não consigo fazer funcionar o firewall, não bloqueia o Serviço HTTPS como descrito em alguns tópicos, gostaria de fazer o bloqueio e liberar apenas para IP de bancos.

Alguém consegue me dar o caminho das pedras?

Abs.

6
Portuguese / Re: Controle HTTPS no Proxy Transparente ou Autenticado
« on: July 25, 2011, 08:06:07 pm »
Obrigado pelas respostas Vinicius,

Adicionei um Objeto com minha rede toda (192.168.0.0/24)

No Firewall em Filtro de Pacotes na Regras de filtros para redes internas, eu Neguei de Qualquer origem o acesso à esta rede (objeto) em qualquer serviço (any).

No Proxy HTTP em Política de objetos usei a política Filter para esta rede e marquei o Perfil de Filtro à ser usado, já configurado com a URLBLACKLIST.

Não uso transparente, uso a porta 3128 e autenticado mas com esse passo acima passou a navegar sem pedir usuário e senha.

Detalhe do meu cenário: uso apenas uma placa de rede com IP válido na rede e as máquinas apontando pra ela no Proxy e um firewall/router (TP-LINK) nega qualquer coisa que não seja o Proxy, portanto todos tem que obrigatoriamente passar pelo Proxy.

Mesmo assim se eu digito http://imo.im dá Acesso Negado, mas se eu usar https://imo.im daí navega.

Eu consegui contornar a situação usando o OPENDNS em conjunto com o Zentyal, por lá deu certo, consigo bloquear qualquer domínio que use HTTPS, mas seria legal eu conseguir fazer tudo atrtavés do Zentyal.

Vc sabe o que posso ter errado?

Outra coisa, sabes como bloquear com eficácia o ULTRASURF e SKYPE?

Visto que não posso bloquear a porta 443 por conta de uso em brancos e Nf-e

Abs.

Felipe

7
Portuguese / Re: Controle HTTPS no Proxy Transparente ou Autenticado
« on: July 22, 2011, 02:47:57 pm »
up

8
Portuguese / Re: Bloquear abertura simultanea de arquivo
« on: July 21, 2011, 09:11:18 pm »
Amigo, já aconteceu isso comigo, não no Zentyal mas já aconteceu tanto no Novell quanto no Samba... é questão de configuração do compartilhamento mesmo.

Aqui na empresa também trabalhamos com várias planilhas, e não foi só este o problema, se não corrigir acaba truncando informações.

Me lembro que pesquisei na internet e acabei corrigindo no próprio Samba mesmo.

Não sei te ajudar no Zentyal, mas posso dizer que vc pode priorizar sua busca pela solução direto no arquivo de configuração do Samba.

Abs e boa sorte.

9
Portuguese / Re: Bloqueio por palavras
« on: July 21, 2011, 05:10:13 pm »
Eu já usei o Shalla agora estou testando o BigBlackList do site urlblacklist.com

É o seguinte, vc baixa um arquivo compactado (não há necessidade de descompactar) daí vc vai na parte de Filtro de Conteúdo e na terceira aba (do Filtro de Domínios) a ultima opção é arquivo de lista de domínios, vc importa o arquivo que vc baixou, então ele vai criar várias categorias, tipo: porn, chat, adult, social networks, enfim são várias...

Daí é só editar a categoria e escolher negar.

Desculpe se falei alguma besteira, mas é por aí...

Links:
URLBLACKLIST
http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist

SHALLA -
http://www.shallalist.de/Downloads/shallalist.tar.gz
Abs.

10
Portuguese / Re: Controle HTTPS no Proxy Transparente ou Autenticado
« on: July 21, 2011, 05:00:45 pm »
Legal, obrigado pelas informações Vinicius.

Realmente tentei de várias formas por aqui, no modo Transparente é bacana pois não tem que ir em cada estação, mas em contrapartida não consegui filtrar url que usasse HTTPS. Consegui apenas bloquear através do firewall mas imagine só ficar colocando lista branca de IPs no firewall de tudo que é banco, site de governo, etc... baita mão de obra.

Optei por usar o Proxy configurado nas estações (3128) e autenticado, ficou bacana, são somente 40 estações, não dá tanto trabalho, depois irei testar também o WPAD (que distribui as configurações de Proxy na rede).

Gostei muito da sua ideia de bloquear no firewall a porta 433 e usar tudo pelo Proxy, você pode me dar mais detalhes de como fazer isso?

Minha rede é 192.168.0.0, tem como eu adicionar um objeto que atinja todo o range de rede?

Daí eu bloqueio a 433 para objeto no firewall né? eu já fiz isso com um IP pra teste, mas seria bacana para um range de IPs.

Outra coisa, depois disso como eu faço pra controlar a 433 pelo Proxy? tenho que redirecionar portas no firewall ou algo assim?

Se puder me dar mais detalhes do seu cenário e de como faço isso agradeço, creio também que ajudará a muitos aqui na comunidade....

e dá-lhe Zentyal...

Forte abs...

11
Portuguese / Re: Controle HTTPS no Proxy Transparente ou Autenticado
« on: July 19, 2011, 09:26:07 pm »
up!!! alguém?

12
Portuguese / Controle HTTPS no Proxy Transparente ou Autenticado
« on: July 18, 2011, 04:33:32 pm »
Olá Pessoal,

Primeiramente queria mencionar que estou surpreso com a ferramenta, realmente o Zentyal é muito bom, rapidamente montamos um Servidor com vários recursos.

Aqui na empresa precisei de um bom Proxy com filtro de conteúdo, já fiz testes com ele transparente e com ele autenticado, uso o filtro com a lista do urlblacklist.com é muito boa.

O que estou com problemas é para controlar o tráfego HTTPS, usado tanto para bancos e outros serviços seguros, bem como por redes sociais, softwares e páginas que visam usar a porta segura para burlar proxy.

Pesquisando aqui no forum consegui bloquear o Serviço HTTPS usando o Firewall, mas em contra partida também bloqueia os seguros como bancos e nota fiscal eletrônica por exemplo.

Gostaria de saber se há uma maneira mais fácil de gerenciar isso, pois acredito eu que teria que pegar todos os IPs de bancos e colocar para liberar no Firewall, correto?

O que é melhor neste caso, proxy transparente ou autenticado? Outro detalhe, não tem mesmo como deixar transparente e autenticado junto né? Seria bacana para os relatórios identificar os usuários independente de estações.

Usando Proxy autenticado e marcando nas estações para usar o HTTPS passando também pelo proxy (3128) zentyal eu conseguiria controlar o HTTPS através do squid?

Desculpe se usei algum termo equivocado, meu primeiro post.

Abs.

Felipe Garrido

Pages: [1]