Proxy + DHCP-Sever = renstricciones.
Buenas tardes. tengo un problema en la empresa ya que los chavales que trabajan en ella no pasan por el proxy sino cuando uno les coloca en las preferencias del mozilla que pasen por el (no es transparente), de paso, tengo dhcp-server y así mismo ellos le quitan en sus ordenadores la opción de dhcp y le colocan otra cualquiera fija y pasan. De verdad no se que pueda ser...... Quiero que ellos pasen por el porxy transparente y de paso que no me puedan cambiar de nuguna manera la IP de sus ordenadores, como tambien que no les funcionen colocando una fija en la intranet. ¿Quien me puede dar una ayuda con eso? Muy agradecido ..... Saludos. -- The Camaleon
El que la IP sea fija o la asigne el DHCP no debe influir en que se permita o no la navegación. Se me ocurren tres posibles problemas: 1.- El ordenador que usas como proxy hace de router, es decir todo el trafico es reenviado. Eso se soluciona en la configuracion del firewall, desactivando la opcion de "Trafico reenviado y enmascarado". 2.- En la configuracion del proxy tienes permitida la navegacion a todo el mundo, y solo restringida a un rango determinado de IP's. 3.- Que tengas conectado el router de internet al swich de tu red privada. Igual te descubro la polvora, pero una cosa es el DHCP y otra el proxy, imagino que eso está claro. Un Saludo. El mié, 22-09-2004 a las 21:49, camaleon camaleon escribió:
Buenas tardes.
tengo un problema en la empresa ya que los chavales que trabajan en ella no pasan por el proxy sino cuando uno les coloca en las preferencias del mozilla que pasen por el (no es transparente), de paso, tengo dhcp-server y así mismo ellos le quitan en sus ordenadores la opción de dhcp y le colocan otra cualquiera fija y pasan.
De verdad no se que pueda ser......
Quiero que ellos pasen por el porxy transparente y de paso que no me puedan cambiar de nuguna manera la IP de sus ordenadores, como tambien que no les funcionen colocando una fija en la intranet.
¿Quien me puede dar una ayuda con eso?
Muy agradecido .....
Saludos. -- The Camaleon
On Wed, 22 Sep 2004 22:47:06 +0200, Aleph
El que la IP sea fija o la asigne el DHCP no debe influir en que se permita o no la navegación.
Claro, eso lo se, pero yo con ese tipode "politica" puedo restringir que ellos usen otras direcciones IP.
Se me ocurren tres posibles problemas: 1.- El ordenador que usas como proxy hace de router, es decir todo el trafico es reenviado. Eso se soluciona en la configuracion del firewall, desactivando la opcion de "Trafico reenviado y enmascarado".
Ajá, esa es la opción que estoy usando, pero en realidad no entiendo lo que me dices, por que yo tengo configurado mi Firewall a mano donde todo el trafico lo paso por el 80.
Igual te descubro la polvora, pero una cosa es el DHCP y otra el proxy, imagino que eso está claro.
Si clarisimo, lo que pasa es que uso esos dos para poder hacer un poco más restringida mi red, eso ayuda a tener un control en todos los aspectos. Gracias en lo que me puedas ayudar...... -- The Camaleon
camaleon camaleon wrote:
Buenas tardes.
tengo un problema en la empresa ya que los chavales que trabajan en ella no pasan por el proxy sino cuando uno les coloca en las preferencias del mozilla que pasen por el (no es transparente), de paso, tengo dhcp-server y así mismo ellos le quitan en sus ordenadores la opción de dhcp y le colocan otra cualquiera fija y pasan.
De verdad no se que pueda ser......
Quiero que ellos pasen por el porxy transparente y de paso que no me puedan cambiar de nuguna manera la IP de sus ordenadores, como tambien que no les funcionen colocando una fija en la intranet.
¿Quien me puede dar una ayuda con eso?
Muy agradecido .....
Saludos.
Para intentar buscar una solución a tu problema, lo primero sería conocer la topología de tu red, ya que puede que, por la estructura que tu red tenga, sea imposible, o muy dificil, conseguir lo que necesitas. Sería conveniente que entre el router de salida y la red de usuarios hubiera un cortafuegos. Ese cortafuegos sólo debería permitir la "navegación" (acceso a internet para ver páginas web) a tu proxy. De este forma, el que quiera navegar debe usar el proxy. Lo siguiente sería configurar el proxy con autenticación, de modo que mediante esa autenticacion (se le pide login/password al usuario) se permita o no la salida a Internet, independientemente de la IP del usuario. Si proxy y cortafuegos con dos dispositivos distintos, pues mejor.
El jue, 23-09-2004 a las 02:13, camaleon camaleon escribió:
On Wed, 22 Sep 2004 22:47:06 +0200, Aleph
wrote:
Claro, eso lo se, pero yo con ese tipode "politica" puedo restringir que ellos usen otras direcciones IP.
No entiendo lo que quieres hacer con la red, ni como la tienes montada. ¿Tienes subredes? ¿Manejas varias redes? Porque para que cualquier usuario pueda navegar tiene que estár en la misma red que su puerta de enlace. Me imagino que el ordenador que uses como proxy tendrá dos tarjetas de red, una apuntando a internet y la otra a tu red privada. Cualquier ordenador que no tenga una IP en el mismo rango que la de tu red privada no puede navegar por internet.
Se me ocurren tres posibles problemas: 1.- El ordenador que usas como proxy hace de router, es decir todo el trafico es reenviado. Eso se soluciona en la configuracion del firewall, desactivando la opcion de "Trafico reenviado y enmascarado".
En el YAST, al configurar el Firewall, debes desactivar esa opcion, porque si no "puenteas" el proxy.
Ajá, esa es la opción que estoy usando, pero en realidad no entiendo lo que me dices, por que yo tengo configurado mi Firewall a mano donde todo el trafico lo paso por el 80.
De todas formas, si puedes, describeme como está montada la red y el ordenador que usas de proxy. Puedes mandarlo solo a mi buzon. Un saludo.
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Miércoles, 22 de Septiembre de 2004 21:49, camaleon camaleon escribió:
tengo un problema en la empresa ya que los chavales que trabajan en ella no pasan por el proxy sino cuando uno les coloca en las preferencias del mozilla que pasen por el (no es transparente), de paso, tengo dhcp-server y así mismo ellos le quitan en sus ordenadores la opción de dhcp y le colocan otra cualquiera fija y pasan.
* En el cortafuegos, tienes routing y enmascaramiento activado de forma generalizada, algo como: FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="192.168.0.0/24" deberia ser FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_NETS="" FW_REDIRECT="192.158.0.0/24,0/0,tcp,80,3128 192.168.0.0/24,0/0,tcp,443,3128 192.168.0.0/24,0/0,tcp,21,3128" * Y todo aquello que soporte el proxy que uses, o instala proxys con otras o más características, si hay algo que no soporte, activa routing y enmascaramiento y define, en FW_MASQ_NETS , que maquina interna , adonde puede ir y a que puerto y protocolo puede acceder de forma individualizada, lo que pase por el proxy alli debes configurarlo.
Quiero que ellos pasen por el porxy transparente y de paso que no me puedan cambiar de nuguna manera la IP de sus ordenadores, como tambien que no les funcionen colocando una fija en la intranet.
* Transparente lo unico que te evita es configurar los navegadores de los clientes, aunque siempre pueden tirar de un script colgado en un servidor web, transparente significa "transparente", no permite ciertas cosas importantes para la administracion y gestion de la red, desde luego para mi fundamentales. * En cuanto al dhcp , asocia a la direccion hardware del cliente la ip a servirle no dejes rangos abiertos. De todas maneras el agujero está, y es lo que debería preocuparte, en que los clientes internos corren sistemas operativos que permiten acceso al hardware de red y todo tipo de configuraciones, este es el menor daño que pueden hacer, instalar sniffers, cambiar las macs, envenenar las caches arp de switch's y routers, etc...., osea Wilson. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFBUznpAXFL65CppEIRAtiyAJ9EHC6hVrm+Mek9HDT9M05FuIoIEACfWZf1 SPaM6sOCc7N7oAX7f/+JH4s= =J0ql -----END PGP SIGNATURE-----
On 2004-09-22 21:49, camaleon camaleon wrote:
de paso, tengo dhcp-server y así mismo ellos le quitan en sus ordenadores la opción de dhcp y le colocan otra cualquiera fija y pasan.
Ah. En un sitio que yo estaba tenían una aplicación que examinaba el tráfico de red. Desde luego, era capaz de pillar si había IPs que no habían salido del servidor dhcp, o si llegaban por un cable que no era el que debían llegar. También pillaban si la topología de la red cambiaba, por ejemplo, si una subred de repente tenía dos puertas de enlace a la intranet (y alguien se saltaba el control de salida de la subred). Una vez sabido, pues... un aviso. Segundo aviso, puedes mandarles a personal: empleo y sueldo, y asunto zanjado. ¿Duro? Si, quizás. La intranet era peculiar, usaba direcciones reales. Es decir, muchas máquinas eran accesibles desde internet. La seguridad daba la impresión a veces de ser paranoica. Lo que no se decirte es que aplicación era. La mayoría de las máquinas eran windows NT (sin permiso de administración), pero también había 95, 98, y maquinas unix y linux, y otras cosas raras, con un montón de software propio.
y de paso que no me puedan cambiar de nuguna manera la IP de sus ordenadores, como tambien que no les funcionen colocando una fija en la intranet.
Se me ocurre una idea... puedes bloquear en el firewall la salida a toda IP que no esté en el rango adecuado, es decir, que no se enrute. Quizás podrías tener una máquina que se apropiara de todas las IPs en desuso... una idea loca que se me acaba de ocurrir. -- Saludos Carlos E.R.
participants (5)
-
Aleph
-
camaleon camaleon
-
Carlos E. R.
-
jose maria
-
Luis