Este problema es recurrente para los administradores de redes que utilizan proxys con Squid para controlar las paginas que se acceden a Internet. Normalmente uno bloquea una pagina vía las reglas del proxy, pero esto no aplica a paginas https como facebook, gmail y otras, ya que el proxy no puede bloquear en https, debido a que este va encriptado y no lo puede diferenciar. Además de lo expuesto anteriormente no podemos bloquear todo el trafico https por el tema de acceso a paginas importantes como Bancos, servicios publicos, etc. Aqui explicare como bloquear en especifico facebook vía el firewall de Zentyal.
Obtener IPs de Facebook y creando objeto facebook
Para obtener las ips de facebook es necesario realizar un ping a las direcciones:
facebook.com
www.facebook.com
login.facebook.com
De esto se obtienen 3 ips de las cuales debemos obtener sus rangos, para eso existe http://whois.arin.net/ui, y creamos un objeto llamado facebook con estos rangos como vemos en la siguiente imagen.
Creando servicio HTTPS
En la seccion de servicios creamos el servicio https como se ve en la siguiente imagen.
Creando la regla de firewall
En el firewall de Zentyal, en la zona filtro para reglas internas, creamos una regla como la siguiente:
Y con esto facebook via https no debería esta permitido, verifica esto en el logs de firewall.
25 comentarios:
me re sirvió!
Gracias
Hola, conoces alguna manera de bloquear este servicio (https) por dias y horas especificas?
Julio:
¿que pasa cuando necesitamos habilitar https para otros sitios?
Estuve probando estas reglas , pero cuando habilito el servicio de HTTPS para el resto , estos sitios bloqueados , se pueden abrir igual.
No logro hacerlo funcionar.
¿Podras comentar como tenés configurada la regla , para el resto de los sitios https ?
Gracias
Estimado Rodrigo estas reglas solo deberian bloquear el acceso al facebook, todos los otros servicios https deberian quedar ok. verifica los log del firewall para ver que regla esta bloqueando el trafico
Estimado Rodrigo estas reglas solo deberian bloquear el acceso al facebook, todos los otros servicios https deberian quedar ok. verifica los log del firewall para ver que regla esta bloqueando el trafico
Bueno por lo que pude hablar con la gente de soporte de Zentyal , la unica manera por el momento es la de filtrar si o si por proxy (NO Transparente).
De esa manera , funcionaria , sino es como que se "salta" el firewall y no toma los cambios.
Saludos
Estoy en mexico, trate de hacer el procedimiento pero no supe como sacar el rango de ips...de la pagina mencionada.
No necesitas saber el rango de ips. Solo debes tildar el check "Bloquear sitios especificados sólo como IP"
y por supuesto agregar los sitios bloqueados , por ej. facebook.com
Julio gracias por tu aporte, funciona fenomenal, este concepto lo aplique a un Zentyal 3.5 el cual esta configurado por squid y proxy transparente, operando 2 subniveles de red los cuales estan configurados como objetos, uno de ellos es abierto y el otro es cerrado,me explico el abierto tiene navegacion abierta, y el cerrado, navegacion restringida a este le aplique los bloqueos de las redes sociales. para Rodrigo si no es tarde, lo que tienes que configurar en la regla del firewall es la procedencia del origen que vas a usar, pues si la dejas cuaquiera o allow te va ha bloquear todas las https por el puerto 443, saludos
Hola, desafortunadamente este metodo dejo de funcionar era muy practico la vda yo lo usaba en todos mis servidores zentyal, la unica forma que he encontrado es mediante dns y apuntando a otra ip ya que al dejar de usar proxy transparente se complica demasiado por que hay muchas maquinas que salen de las oficinas y estar poniendo la conf a cada rato es algo cansado.
gracias amigo me sirvio... una pregunta como hago para que me muestre la pagina de acceso denegado.. para https ? ya que para http si me muestra.. la del proxy como hago para que me redireccioneel puerto 443 al proxy de zentyal sin que este se me salte
No es posible poner una pagina de error, ya que el bloqueo es traves de firewall y no del proxy
Excelente !
Lo hice en Zentyal 3.5 y funciono de maravilla .
Ahora tengo que ver como agregarle excepciones , es decir que para ciertos grupos de la red no funcione.
Slds.
Diego solo debes definir una regla anterior que permita a la IP definidas
como realizo el bloqueo de youtube sin afectar los demas servicios de google .
el metodo a principio me funciona de maravilla , pero el problema es con youtube.
Gracias hermano, ya lo probé y al parecer sirvió, solo falta esperar cuando vengan chillando los compañeros de trabajo.
Brother muchas gracias, me fue de mucha ayuda tu información.
necesito bloquear paginas por dominio, por ip, por frase, por extension y por puerto
hay algun manual para cada uno o es lo mismo
EliodoRo , de esta manera sólo bloqueas por grupo de IPs.
Si funciona pero el rango de direcciones es más amplio por ejemplo facebook tiene varios rangos por seguridad. https://forum.pfsense.org/index.php?topic=71756.0
103.4.96.0/22 173.252.64.0/19 173.252.96.0/19 204.15.20.0/22 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.96.0/19 66.220.144.0/21 66.220.152.0/21 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.255.0/24 69.63.176.0/21 69.63.184.0/21 74.119.76.0/22
Hola me encuentro en similar predicamento. Y perdona que venga tanto tiempo después de abierto el blog pero soy nuebo en Zentyal. Estoy utilizando Zentyal 5.0
Ya logré bloquear todas las https, pero deseo hacer la excepción de poder utilizar una.
¿qué debo hacer?
La que deseo utilizar es de un banco.
Por favor te suplico ayuda.
Gracias.
Buena guia, funciona perfecto.
bueno estoy probando esa vai pero a mi no me funciona no se porque
Publicar un comentario