Zentyal Forum, Linux Small Business Server
International => Spanish => Topic started by: Rortin on March 01, 2011, 12:13:35 pm
-
Buenos días:
La verdad es que he leído el foro por todas partes y no encuentro la solución.
Primero de todo os pongo mi configuración para ver si tengo algo mal:
configuración de redes:
configuración del eth0 como interno e ip 10.12.54.171 y una vlan de tipo 192.168.199.x
configuración del eth1: no configurado.
Servicios: Servicio https, configuracion como externo y con el puerto 443 como desde cualquier puerto a puerto 443.
Proxy http: configurado como transparente.
Firewall: creada una regla en Reglas de filtrado para las redes internas con configuración cualquiera/cualquiera y el servicio https.
Teniendo esta configuración no hay manera de tener acceso a las webs tanto de google (Gmail, docs,..), como por ejemplo a tuenti ... es decir a ninguna que utilice el protocolo https.
Ya no se me ocurre que probar.
Por favor necesito ayuda urgente.
Muchas gracias.
-
viendo el log del firewall me sale esto:
Source Destination Protocol Source port Destination port Decision
192.168.199.155 192.168.199.1 TCP 50571 389 DROP
he añadido la regla de que deje pasar tambien al puerto 389 y sigue saliendo lo mismo.
-
El puerto 389 es de LDAP, no esta relacionado y no es necesario que lo abras si no estas usando Master/Slave o similar.
Que configuracion tienes en el firewall en la sección de "Internal networks" ? Dices que has puesto el servicio https como externo, pero para el problema que te afecta, que es de navegación, lo que tienes que comprobar es la configuración del cortafuegos para las redes internas, que es desde donde intentas acceder.
-
Que configuracion tienes en el firewall en la sección de "Internal networks" ?
Pues dentro de la sección Reglas de filtrado para las redes internas tengo:
https, pop3 y any.
Dentro de la sección Reglas de filtrado desde las redes internas a Zentyal: estan los de por defecto.
Entonces debo poner el servicio como interno??, tambien lo he probado y no funciona.
Te paso por mail el informe de configuración.
Para que te hagas una idea, estoy tratando de comprar el libro de administración y no puedo acceder a la tienda.
Gracias.
-
puede ser que todo esto no funcione porque solo utilizo una interfaz de red??
Debo añadirle otra tarjeta de red al sevidor que solo tiene una???
-
lo que no entiendo:
He agregado una regla para que bloquee el trafico http en un puesto, y no hace absolutamente nada, el puesto se sigue conectanod.
De igual manera si pongo que el proxy no sea transparente, aunque ponga la regla de trafico http, no permite navegar.
Es como si el firewall funcionara y no hiciera el más minimo caso de las reglas.
-
Viendo tu configuración, el orden no parece correcto.
Si tienes puesta la regla de aceptar todo la primera de todas, el resto de reglas de bloqueo no te van a funcionar. Una vez que se aplica una regla no se sigue mirando el resto.
Un saludo.
-
entonces si quiero que puedan navegar por http, https, pop3 y ftp...
¿Que reglas debo poner?
Muchas gracias.
-
Pues reglas para permitir esos protocolos y al final una regla de Denegar cualquier otro protocolo (con el servicio any).
-
pero entonces tengo que poner que el proxy no sea transparente. verdad?
Y el orden es de arriba a abajo, poniendo abajo del todo la de bloqueo total, no??
-
Sí, el orden es de arriba abajo. En cuanto al proxy transparente, sólo afecta al tráfico HTTP, no al resto de protocolos (https, pop3, etc).
-
Sí, el orden es de arriba abajo. En cuanto al proxy transparente, sólo afecta al tráfico HTTP, no al resto de protocolos (https, pop3, etc).
J. A. Calvo quieres decir que si tenemos el proxy transparente activado y configurando el firewall como dices arriba, no bloqueará el HTTP?
-
El proxy tiene su propia configuración de "Object policy" para permitir o denegar. La del firewall de internal networks es para cuando los clientes acceden directamente a Internet, pero cuando se usa proxy transparente es realmente Zentyal quien accede a internet, y los clientes acceden únicamente al servidor Zentyal para obtener copias locales cacheadas de las páginas.
-
El proxy tiene su propia configuración de "Object policy" para permitir o denegar. La del firewall de internal networks es para cuando los clientes acceden directamente a Internet, pero cuando se usa proxy transparente es realmente Zentyal quien accede a internet, y los clientes acceden únicamente al servidor Zentyal para obtener copias locales cacheadas de las páginas.
Vale entonces quieres decirme que para bloquear la navegación (http) la regla de denegación al servicio http tenemos que añadirla desde Cortafuegos>Filtrado de paquetes y en Reglas de filtrado desde las redes internas a Zentyal?
Yo ahora mismo he puesto una regla ahí dentro para bloquearle a un ordenador la navegación de la siguiente manera:
Decisión: DENY
Origen: IP origen -> 192.168.10.55 / 32 (la ip del portatil que quiero bloquear)
Servicio: http (inverse match lo tengo desmarcado)
Descripción: en blanco
No hay ninguna otra regla agregada, solamente esta. Pues no funciona. El ordenador sigue navegando perfectamente por Internet.
Ahora bien, lo que si se ha bloqueado ha sido el FTP, el SSH y las webs con HTTPS. Por que bloquea todo eso sin decirle nada y justamente el HTTP que es lo que queremos bloquear no lo bloquea?
-
No, lo que quiero decir es que si usas proxy, tienes que configurar los bloqueos en el menu "Proxy HTTP -> Políticas de Objeto", no en el cortafuegos.
-
No, lo que quiero decir es que si usas proxy, tienes que configurar los bloqueos en el menu "Proxy HTTP -> Políticas de Objeto", no en el cortafuegos.
Ok yo ya lo he pillado todo. Desde el cortafuegos se puede aceptar/denegar los puertos y servicios que queramos menos el HTTP.
El http lo tenemos que bloquear utilizando reglas de filtrado dentro de Proxy HTTP.
Esto va como la seda, gracias por la ayuda. Lo único que si queremos bloquearle la navegación http a una determinada IP en concreto, tenemos que crear un filtro especial para ese ordenador...
-
Vamos a ver si me termino de aclarar con la configuración:
1 - Tengo puesto el proxy en modo transparente. (Esto me permite la navegacion http).
2 - Para permitir la navegación https me voy al cortafuegos/redes internas/reglas de filtrado para redes internas.
3 - Una vez dentro, creo las siguientes reglas de abajo hacia arriba: https, POP3, FTP en modo permitir.
Y se supone que debería tener acceso a todo esto.
Despues de esto para filtrar contenido:
1 - creo un objeto de mi red: 192.168.199.0/24
2- voy al menu proxy http/politcas de objeto: y creo una politica.
3 - si deseo modificar el tipo de filtrado, entonces lo que hago es crear un perfil en filtrar perfiles.
Si todo esto es así... tengo un problema... porque no navega por https. ???
-
Vamos a ver si me termino de aclarar con la configuración:
1 - Tengo puesto el proxy en modo transparente. (Esto me permite la navegacion http).
2 - Para permitir la navegación https me voy al cortafuegos/redes internas/reglas de filtrado para redes internas.
3 - Una vez dentro, creo las siguientes reglas de abajo hacia arriba: https, POP3, FTP en modo permitir.
Y se supone que debería tener acceso a todo esto.
Despues de esto para filtrar contenido:
1 - creo un objeto de mi red: 192.168.199.0/24
2- voy al menu proxy http/politcas de objeto: y creo una politica.
3 - si deseo modificar el tipo de filtrado, entonces lo que hago es crear un perfil en filtrar perfiles.
Si todo esto es así... tengo un problema... porque no navega por https. ???
Te explico como lo tengo yo montado:
Yo me he ido a Servicios > Añadir nuevo
Nombre del servicio: HTTPS
Una vez creado el servicio llamado HTTPS damos click en "Configuración" y dentro dónde pone Configuración de servicio pulsamos en Añadir Nuevo.
Protocolo: TCP/UDP
Puerto origen: Cualquiera
Puerto destino: Puerto único --> 443 (es el puerto del HTTPS).
Guardamos cambios.
Ahora nos vamos a Cortafuegos >Filtrado de paquetes y seleccionamos Reglas de filtrado para las redes internas
Dentro alomejor tienes algunas reglas creadas. Yo lo que he hecho ha sido eliminarlo todo y ir añadiendo las reglas que yo quiera.
La del HTTPS en este caso:
Configurar reglas > Añadir nuevo
Decisión: DENY (IMPORTANTE Rotin, yo lo tengo en DENY/Denegar, pero tu debes ponerlo en ACCEPT
Origen: IP de origen -> 192.168.10.55 (cambia esta IP por la IP del ordenador que desees permitir la navegación. (puedes seleccionar también la opción Objeto y permitir/denegar a todos los miembros que formen parte)
Destino: Cualquiera
Servicio: HTTPS (que lo hemos creado anteriormente)
Guardamos cambios y en teoria deberias tener habilitado ya la navegación por webs Https.
Pruebalo y nos comentas.
-
el servicio que añades como https, lo marcas como interno?
Lo tengo así y no me funciona, es lo que trato de decir.¿Porque me bloquea?.
Por otro lado, recordar que yo solo utilizo una interfaz de red.
-
el servicio que añades como https, lo marcas como interno?
Lo tengo así y no me funciona, es lo que trato de decir.¿Porque me bloquea?.
Por otro lado, recordar que yo solo utilizo una interfaz de red.
No no lo tengo marcado como interno.
Solo tienes una tarjeta de red? Yo no es que sea un entendido, pero creo que si tienes un proxy http debes hacer pasar a los ordenadores por Zentyal, es como una especie de "puente" (al igual que un puente, necesitas una entrada y una salida, es decir 2 tarjetas de red), igual por eso no funciona...
Yo por ejemplo tengo un ordenador con 2 tarjetas de red. Por una tarjeta le entra el Internet al servidor Zentyal, y por la otra tarjeta es donde se conectan los ordenadores.
-
ok, de todas formas debería de funcionar, no??
El problema está en que parece que hace caso omiso de las reglas y filtros.
Por ejemplo, yo tengo el proxy en modo transparente pero en modo filtrar.
Entonces entro los perfiles y le pongo que el modo sea estricto.
Me voy a la parte de filtrado de dominios y pongo una web, por ejemplo cetem.es y la politica always deny, es decir, se supone que debe bloquear dicha web.
Bien pues guardo los cambios y voilá: voy a mi navegador y puedo acceder normal y sin problemas.
Lo más gracioso es que si pongo una pagina con https... como he configurado antes, el registro del cortafuegos me dice que DROP... con lo cual vuelvo a la primera frase.
-
ok, de todas formas debería de funcionar, no??
El problema está en que parece que hace caso omiso de las reglas y filtros.
Por ejemplo, yo tengo el proxy en modo transparente pero en modo filtrar.
Entonces entro los perfiles y le pongo que el modo sea estricto.
Me voy a la parte de filtrado de dominios y pongo una web, por ejemplo cetem.es y la politica always deny, es decir, se supone que debe bloquear dicha web.
Bien pues guardo los cambios y voilá: voy a mi navegador y puedo acceder normal y sin problemas.
Lo más gracioso es que si pongo una pagina con https... como he configurado antes, el registro del cortafuegos me dice que DROP... con lo cual vuelvo a la primera frase.
Claro, yo creo que es por lo que te digo. Necesitas dos tarjetas de red Rortin. Una de entrada y una de salida. Fíjate:
(http://www.tutoriales-ubuntu.com/wp-content/uploads/2009/04/proxy-squid.jpg)
-
ok, muchisimas gracias a todos... ya funciona.
efectivamente todo el problema estaba por no utilizar las dos bocas de red.
configurando las dos bocas todo resuelto y a la perfección.
Muchas gracias a todos.