Zentyal Forum, Linux Small Business Server
International => Spanish => Topic started by: Miguel Salcedo on March 22, 2011, 09:59:43 pm
-
Buenas tardes vuelvo a escribir en vista de que nadie responde mi duda... Estoy configurando Zentyal y no logtro bloquear paginas como https://facebook.com, https://youtube.com, https://imo.im, etc... La verdad ya he leido el libro, los foros y no logro solucionarlo. Hice lo q aparece por ahí sobre crear un servicio https tcp con puerto destino 443 luego creo la regla en el firewall donde deniego a los objetos entrar a ese servicio pero no hace nada... Es decir sigo sin bloquear esas paginas. Alguien que ya haya bloqueado dichas paginas que me ayude por favor...
-
Buenas !
Yo lo he hecho y no he tenido ningún problema. Has configurado la regla de 443 en Redes externas hacia Zentyal, redes internas hacia Zentyal o redes internas?
-
Y al bloquear el puerto no bloqueas también paginas de bancos, etc.
-
Amigo buenas tardes, si lo tienes funcionando podrias publicar los pasos como lo hicistes. para ayudarnos a todos muchas gracias
-
hola eaguade, tambien hemos tenido el mismo problema.. no bloquea las paginas con https, hemos hecho lo que hiciste arriba, bloqueamos el 443 y nada.. Será que puedes publicar de forma detallada lo que tu hiciste.. Gracias de antemano..
-
Que tal, yo tengo configurado proxi transparente con donde permito toda la navegación, luego creo reglas y filtros para denegar lo que quiera. En el caso de bloquear paginas HTTPS lo hice así y me funciono:
1.- Primero creo un Servicio
Vamos a:
Servicios ----> Añadir nuevo
Le colocan un nombre al servicio por ejemplo https
En la lista de servicios ubicamos https y antes de entrar a configurar la casilla Interno debe estar desmarcada(si marcas la casilla también debería funcionar pero a mi me no marcándola) ahora si, entramos a la Configuración del servicio creado (https) y hacemos click en Añadir nuevo
y configuramos:
Protocolo: TCP/UDP
Puerto origen: Cualquiera
Puerto destino: Seleccionan Puerto único y escriben el numero del puerto que es: 443
Listo ahora guardamos los cambios.
2.- Segundo creo la Regla
Vamos a:
Cortafuegos ---->Filtrado de paquetes, hacemos click en Reglas de filtrado para las redes internas
y configuramos la regla para HTTPS asi:
Configurar reglas ----> Añadir nuevo
Decisión: DENY
Origen: Aquí colocas la IP del equipo al quieres bloquearles las direcciones https o colocas un objeto para bloquear varios miembros(equipos)
Destino: Cualquiera
Servicio: https
Listo volvemos a guardar los cambios.
De esta manera pude bloquear las paginas https. Esto también te va a bloquear los módulos de las paginas de bancos que manejen conexiones seguras.
Saludos.
-
Corregí mi post, no hay que marcar la opción Interno en la lista de servicios.
Saludos.
-
entonces esta todo correcto?
-
CUEEEK!!! no me resulto :'(
Al final me resulto mas sencillo "EMBRUJAR" el DNS, se quedaron todos sin Facebook (tipico los gerentes querian que se los habilitara). Me fui a Infraestructure -> DNS -> Add New y en donde dice "Domain" le puse "facebook.com" y en "IP Address" le di una ip inactiva para que diera bote y asi me resulto (teoria de la navaja de occam). En otro post aqui mismo, lei que el proposito del protocolo HTTP'S' es proporcionar un canal de comunicacion, directo, encriptado y seguro (aunque todos sabemos que nada es seguro en internet) por resa razon los proxy no logran filtrarlo ya que pasa encriptado y no sabe que interpretar (bueno, eso dicen). Saludos
-
buenas a todos, yo estoy con el mismo problema.
Tengo un zentyal 2.0.20 con autentificacion y filtrado.
He probado crear un servicio con el 443 y nada no hay forma de evitar que un usuario ponga https:// y pueda entrar a facebook.
Teneis alguna idea para otras soluciones ?
PD = lo de embrujar los DNS no me sirve ya que es una escuela con portatiles y equipos de mesa entonces se pueden cambiar la dns y se las pasan por encima..
-
los pasos son:
1.- ping a facebook.com
2.- con IP obtenida ir http://whois.arin.net/ui y obtener el rango de facebook
3.- Crear una regla de bloqueo para ese rango y https
listo
-
eso ya lo intente pero no hay manera.
La unica solucion que encontre es edita el squid.conf y comentar la acl de https.
de esa manera no va ningun https
-
Permitiste el acesso https en firewall?
-
Es como dice cabildocl, pero haz ping a facebook.com y a www.facebook.com. Luego las ip que te den cuando hagas ping la metes en http://whois.arin.net/ui. Entre toda la información que te muestres ubicas estos segmentos de ip: 69.63.176.0/20 y 66.220.144.0/20.
Ahora después que tengas esas ip, vas a crear un Objeto (Por ejemplo llamado Facebook) con dos miembros y le asignas a cada uno los segmentos de ip. Y Guardas.
Luego te vas a Cortafuego>Filtrado de Paquetes>Reglas de filtrado para las redes internas. Aquí vas a configurar una nueva regla y la configuras así:
Decisión: Denegar
Origen: El Objeto(Las maquinas) al que le quieres denegar el acceso
Destino: El objeto facebook que se creo anteriormente
Servicio:https
Guardar.
Eso es todo a mi funciona así. Tengo proxi transparente con política predeterminada de Siempre denegar.
-
buenas, eso mismo he echo y no hay manera.
La unica solucion que encontre fue esta que te comento cambiar en el squid.conf el acl de https
aparte de eso me encuentro con problemas para bloquear segun que web por ej, pongo en el mi perfil default miniclip.com denegar siempre y no hay manera que la bloquee.. es un poco raro he echo lo mismo poniendo la IP de miniclip y tampoco funciona....
al Final termino modificando los ficheros de zentyal para poder bloquear lo que quiero...
No se si sera un bug de mi zentyal o que la verdad es un poco desesperante....
-
Estimado adjunto un pequeño tutorial
http://cabildocl.blogspot.com/2011/08/como-bloquear-paginas-en-https-en.html
-
gracias por el tuto, lo volvere a repasar pero vamos como te comente esto no va :).
Por otro lado la diferencia podria ser que estoy usando Autorizacion y filtrado? en ves de un proxy transparante...
Un error que me pasa cuanto intento ponerles a las ip .0/20 es que no me deja y me da error sabes pòr q puede ser?
-
Tienes configurado el proxy en el navegador? si es asi no configures ssl o https por el proxy.
Saludos
-
Hola soy nuevo usando la solucion de zentyal y a mi parecer es una de las mejores soluciones que he encontrado en la red, les comento como podemos bloquear facebook.com y dominios sin necesidad de cerrar el puerto 443 que es de suma importancia sobre todo para bancos.
1) Instalar el modulo DNS
2) Ya que se encuentra instalado le damos palomita en Habilite el caché de DNS transparente
3) Nos vamos a la opcion que dice Dominios y le damos click en añadir nuevo/a
4) Metemos el dominio de nuestro interés, en este caso yo ingreso facebook.com
5) Mas abajo metemos la direccion ip 127.0.0.1 que viene siendo el localhost de las maquinas
6) Le damos añadir
7) Guardamos cambios
Y listo ya quedó bloqueado el dominio facebook.com
Para personas que no quieren filtrar yo recomiendo que tengan un segundo gateway y los mandemos por ese segundo gateway para que no haya complicaciones.
Espero que esta información les sea de ayuda.
-
hice como ljimenez29 dijo y se travo mi servidor.
ahora reinicia y queda iniciando
-
esto y listo
http://cabildocl.blogspot.com/2011/08/como-bloquear-paginas-en-https-en.html
-
Debo advertir que en Zentyal 2.2 el numero de IP's que se puede bloquear con el cortafuegos es limitado, y facebook tiene un monton.
En Zentyal 3.0 voy a volver a intentar si podemos bloquear todas las IP's mediante el cortafuegos.
Saludos.
-
Hola!, en una de las empresas que colaboro a administrar se utiliza un zentyal 2.2, rápidamente después de intalar el proxy http nos dimos cuenta que los usuarios ya conocían la puerta abierta que tenían con el protocolo https así que se me asignó la tarea de solucionar este problema. Después de mucho batallar cómo ustedes me tope con algunos inconvenientes cómo por ejemplo:
-Si en el firewall crean una regla que contenga por ejemplo origen:cualquiera, destino:cualquiera, servicio:any>>accept entonces sin importar que por encima pusiera una regla para negar acceso a algún puerto desde cualquier objeto esa regla no se veía aplicada ya que la anterior daba acceso a todo sin importar que existieran otras para denegar acceso.
-Si se creaba una regla con origen:usuarioslimitados, destino:ipdepaginablqueada, servicio:https>>deny si no existía una regla cómo la mencionada en el punto anterior entonces efectivamente bloqueaba el acceso por el servicio https pero también caulquier acceso a direcciones ip que no estuvieran incluidas dentro el objeto destino bloqueado lo causaba problemas con páginas de bancos, mail etc.
Después de mucho pelear finalmente termine con un método algo complicado que funciona pero es tardado:
-Primero creo el servicio https en el puerto 443
-luego creo 2 objetos uno llamado Bloqueado y Otro Acceso, en acceso puse las direcciones de bancos, servidores webmail y páginas conocidas que utilizan el servicio https para funcionar y que estan permitidas, en Bloqueado las ips de facebook, twitter...
(NOTA: *por petición de la empresa debo permitir todos los servicios adicionales y para evitar problemas antes de crear esta regla generé otra con los valores: Objeto origen:usuarioslimitados, destino:cualquiera, servicio:todos menos https>>accept; esto último se hace seleccionando https y Inverse match para que no se meta con ese servicio)
-Creo la regla: origen:Usuarioslimitados, destino:bloqueado, servicio:https>>deny; y otro encima de este con: origen:Usuarioslimitados, destino:Acceso, Servicio:https>>accept
Todo esto claro sobre el filtrado de paquetes de redes internas del Firewall. En caso de que alguna página no funcione (ya que todas las páginas no incluidas en Acceso son bloqueadas por el Zentyal) se nos envía una solicitud y al ser autorizado se incluye en el objeto Acces y fin.
Espero les sirva de algo ;)
-
Sorry if I intervene here in English but I don't speak Spanish and believe automatic translation will be meaningless. I hope someone here will be able to translate for the community.
- if you use HTTP transparent proxy, there is almost nothing you can do in order to block HTTPS because this is managed at firewall level and blocking list of IP is not realistic.
- using explicit proxy, you can block https://youtube.com or https://facebook.com very easily using "domain filtering" option.
- still, if you want this to be very strict and accurate, you will have to block access to external proxies like anonymizers :-[
-
Christian dice:
- Si estas usando proxy HTTP transparente, no hay casi nada que puedes hacer para bloquear HTTPS porque esto esta siendo manejado a nivel de cortafuegos y bloquear una lista de IP's no es factible.
- Usando proxy no-transparente, puedes bloquear https://youtube.com o https://facebook.com muy facil usando la opción "filtrado de dominio".
- Aun asi, si quieres que esto sea estricto y correcto, necesitas bloquear acceso a proxys externos como proxy anónimo.
I hope this is what Christian wanted to say, sorry my Spanish is not that good :)
También quiero agregar algo, el método de abaguilar no funciona 100% y les explico porque.
Primero que todo, Facebook maneja un numero extenso de IP's, actualmente es imposible agregarlas todas en un objeto de red porque se cuelga el cortafuegos.
Si has olvidado agregar una IP, el bloqueo puede funcionar solo de vez en cuando.
Lo que ya se ha dicho antes, lo que SI puede funcionar es el tal "whitelisting", osea bloquear todas las conexiones HTTPS mediante una regla en el cortafuegos
y luego una regla encima que autoriza las conexiones HTTPS permitidas como bancos etc.
Esto es mas o menos lo que abaguilar acaba de explicar.
Personalmente no utilizo proxy no-transparente porque siempre hay algo que no funciona, ademas requiere configuraciones adiccionales y en mi red esto no siempre es posible.
Saludos.
-
Estimado Escorpiom con respecto al tema de facebook claro que ellos tienen muchas ips, pero estas pueden ser resumir en un numero limitado de subredes, siendo posible el filtrado por en el firewall.
Saludos
-
cabildocl,
Bloqueando toda una subred es posible, pero sin querer podemos dejar bloqueado sitios que no tienen nada que ver con Facebook.
Si estas seguro que toda esa subred es destinado a Facebook bien, pero yo no estoy seguro.
Saludos.
-
Estan vivos aun ?
es por el tiempo del post nomas , solo queria decir que funciona en la forma que ljimenez29 lo muestra lo estoy haciendo , solo tengo un pequeño problema, Trabajo en una empresa de electronicos a lo cuales alos vendedores le he podido bloquear los Https con los pasos que ljimenez29 puso mas arriba, lo malo es que los vendedores usan mucho Hotmail que tambien esta bloqueado :/
-
Hola Alex Miguel,
Por supuesto esta bloqueado Hotmail, si lees bien el post de ljimenez29 puedes notar que TODAS las conexiones seguras están bloqueadas.
Puedes crear una regla permitiendo el acceso a Hotmail, esto es lo que quiero decir con "whitelisting".
Esta nueva regla lo colocas encima de la regla que bloquea todo. Asi te va funcionar Hotmail, para bancos el procedimiento es similar.
Saludos.
-
Miguel Salcedo,
Para que las políticas de filtrado (filtrado de contenido) se apliquen tanto para páginas http como https deberás bloquear el puerto 443 en [ Cortafuegos > Filtrado de paquetes > "Tráfico entre redes internas y de redes internas a Internet"], para los usuarios que deben ingresar a páginas de Entidades Bancarias deberás configurarle "Proxy Manual". No es posible el filtrado de contenido sobre https con proxy transparente, es una limitación técnica, la única forma de hacerlo es usando proxy manual.
Si el gerente necesita hacer negocios por Facebook, entonces configurale proxy manual o a su vez permitile solo a su IP el acceso al puerto 443 ;)
PD: Repito, la regla es en "Tráfico entre redes internas y de redes internas a Internet"
-
buenas, eso mismo he echo y no hay manera.
La unica solucion que encontre fue esta que te comento cambiar en el squid.conf el acl de https
aparte de eso me encuentro con problemas para bloquear segun que web por ej, pongo en el mi perfil default miniclip.com denegar siempre y no hay manera que la bloquee.. es un poco raro he echo lo mismo poniendo la IP de miniclip y tampoco funciona....
al Final termino modificando los ficheros de zentyal para poder bloquear lo que quiero...
No se si sera un bug de mi zentyal o que la verdad es un poco desesperante....
A mi me pasaba.. configure esos parametros objetos y perfiles en el cortafuegos para bloquar facebook asi como en el proxy en zentyal 3.0
me funcionaba no ingresaba a
https://facebook.com/ http://facebook.com/ http://www.facebook.com/
pero si me ingresaba a https://www.facebook.com/
No entendia el porque, si todo estaba bien, por ultimo en mi computadora de pruebas borre el historial los cokies y todo y ahi si ya no pudo pasar https://www.facebook.com/
Bueno al final ya nade pudo entrar a estos sitios asi que si funciona solo era que en la pc todavia tenia el registro de esa direccion a donde tenia que ir.
-
Buen día amigos, me acabo de bajar el Zentyal para probar que tal es y veo que es muy amigable, también vi que hay muchas consultas. Y la verdad quiero aportar porque soy nuevo usando esta herramienta.
Use de pruebas Zentyal 3.5 Comunity Edition
- En la sección CORE > Red > Objetos
- A la derecha clic en: Añadir nuevo/a
- Añadimos el objeto: UserGeneral > Guardar Cambios
- En la sección CORE > Red > Servicios
- A la derecha clic en: Añadir nuevo/a
- Nombre del Servicio: MyHTTPS
- Clic en configuración de MyHTTPS y "Añadir Nuevo"
- Protocolo:TCP/UDP | Puerto origen: Cualquiera | Puerto destino: Puerto único 443 -> "Añadir"
- Guardar Cambios
- En la sección GATEWAY > Cortafuegos > Filtrado de paquetes
- A la derecha en "Reglas de filtrado para las redes internas" > clic en "Configurar reglas"
- A la derecha clic en: "Añadir nuevo/a"
- Decisión: Denegar | Origen: Objeto origen = UserGeneral | Destino: Cualquiera | Servicio: MyHTTPS
- Clic en "Añadir"
- Guardar Cambios
- En la sección GATEWAY > Proxy HTTP > Configuración General
- Deshabilitar "Proxy Trasparente" > "Guardar cambios"
- En la sección GATEWAY > Proxy HTTP > Perfiles de Filtrado
- A la derecha clic en: Añadir nuevo/a
- Nombre: BloquearAccesos > Añadir
- Clic en la configuración de "BloquearAccesos"
- Pestaña "Configuración" > Umbral: Medio > clic en "Cambiar"
- Pestaña "Reglas de dominios y URLs" > Clic "Añadir nuevo/a"
- Dominio o URL: facebook.com | Desición: Denegar | Clic en "Añadir"
- Guardar Cambios
Ahora sólo tiene que ir a su navegador y ponerles el proxy y navegarán a todos lados menos a facebook.com. Hice la prueba con Ultrasurf 14.03 a ver si me saltaba y lo único que abrió fue una página con letras chinas. Espero que les sirva, la verdad uso un UTM que no mencionaré la marca (Gateprotect) que me aliviana todo en la empresa. Bueno si encuentro alguna novedad más les aviso. ¡Vamos Boys!