Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?

To: Debian <debian-user-spanish@lists.debian.org>
Subject: Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
From: "Victor H De la Luz" <itztli@gmail.com>
Date: Fri, 8 Aug 2008 19:58:53 -0300
Message-id: <[🔎] fd46f1530808081558q6a8753f2s8acb8918b8e3994d@mail.gmail.com>
In-reply-to: <[🔎] 1218235172.2918.37.camel@Valnerit0>
References: <[🔎] 489CC085.2000802@minamex.com> <[🔎] 1218233580.2918.23.camel@Valnerit0> <[🔎] 489CC6AD.8040409@minamex.com> <[🔎] 1218235078.2918.36.camel@Valnerit0> <[🔎] 1218235172.2918.37.camel@Valnerit0>

2008/8/8 Jose Luis Gómez <jose.gnu@gmail.com>:
> El sáb, 09-08-2008 a las 00:38 +0200, Jose Luis Gómez escribió:
>> El vie, 08-08-2008 a las 17:20 -0500, Roberto V. escribió:
>> > Jose Luis Gómez escribió:
>> > > El vie, 08-08-2008 a las 16:54 -0500, Roberto V. escribió:
>> > >> Que tal lista,
>> > >>
>> > >> He buscado por google y no me ha quedado bien lo que a continuación
>> > >> pregunto:
>> > >>
>> > >> En mi trabajo han bloqueado el puerto 80, es decir ya no podemos ver
>> > >> páginas web, pero tenemos acceso al correo a través del puerto 110 de
>> > >> pop3 y salida de correo por el puerto 25 que es smtp. Entonces me
>> > >> gustaria saber si es posible usar algún proxy o tunnel para salir a
>> > >> través del 110. Es decir en mi casa, por ejemplo, mi PC que tiene salida
>> > >> a internet sin restricción estaria el proxy/tunnel.
>> > >> Lo que tenia pensado era cambiar en el firefox la conexión de "conexión
>> > >> directa a internet" a "usar un proxy" y en poner la dir. de la
>> > >> computadora de mi casa y en el puerto poner el puerto 110. y la PC de mi
>> > >> casa estaria escuchando por ese puerto y me devolveria las peticiones
>> > >> por el 110. ¿Es posible?
>> > >>
>> > >> Si es asi, que programa (claro, en debian) me serviria? ¿Serviria para
>> > >> esto el squid?
>> > >>
>> > >> Saludos y gracias
>> > >>
>> > >>
>> > > En principio si, con un squid en tu casa te sobraría.
>> > >
>> > > Digo en principio pq depende de un millón de cosas.:
>> > >
>> > >   1) Dices que tienes salida por smtp : Si se han molestado en caparte la
>> > > navegación, casi seguro que tienes filtrado por IP destino las
>> > > conexiones smtp. Permitirán al relay de donde te den el hosting/housing
>> > > del correo y poco más.
>> > >
>> > >   2) Que no tengan filtro a nivel de capa 7 : Si solo filtran por
>> > > protocolo pasas, pero si filtran a nivel de aplicación, por mucho que lo
>> > > pases por el puerto que sea, van a pescar que es navegación (o lo que
>> > > proceda).
>> > >
>> > > Dudo que las máquinas estén habilitadas para el acceso directo a
>> > > internet, este tema se suele montar con proxy y despues un firewall de
>> > > primera linea que deja salir a ciertas IPs a Internet mediante NAT. Así
>> > > controlas que máquinas salen y con que IP pública salen.
>> > >
>> > > Origen            Destino         Servicio        Origen          Destino
>> > > MáquinaX  Original        ANY             Interface-NAT   Original
>> > >
>> > > Esto en término de NAT, despues capas puertos con firewall.
>> > >
>> > > En resumen ... depende de lo chapucera que sea tu empresa.
>> > >
>> > > Un Saludo.
>> > >
>> > >
>> > Pues aun no entiendo bien si tienen filtrado por capa 7, pero puedo
>> > comentar que para la navegación, tambien tienen restricciones, es decir.
>> > Los usuarios normales no tenemos acceso a nada de http, solo correo. Los
>> > "jefes intermedios", por asi llamarlos, tienen acceso a páginas web,
>> > pero solo las que sean http, no https ni tampoco tienen acceso a ciertas
>> > páginas ni pueden bajar ciertos archivos (audio, video, comprimidos,
>> > exe, etc). y los jefes de alto rango si tienen acceso total al internet.
>> > Esto lo logran "logueandose" al firewall y dependiendo del usuario es el
>> > nivel de acceso a internet. La empresa tiene un firewall llamadao
>> > "Firebox/Watchguard".
>> > Con esta información un poco más amplia es posible saber si se puede
>> > hacer lo que planteaba yo en mi pregunta original?
>> >
>> > Saludos y gracias.
>> >
>> >
>> Todo lo que comentas puede realizarse con mucha o poca logística, eso
>> tampoco determina las medidas proactivas de seguridad que tengan. Me
>> explico ...
>>
>> Que haya distintos perfiles a la hora de navegación garantiza que hay
>> por ahí un proxy (además del firewall) ... si tu empresa es Windowsiana,
>> casi seguro que tendrá un ISA y las políticas de grupo las mira contra
>> el AD. Si es Linuxera, tendrá un Squid y gestiona esos perfiles con ACLs
>> o un LDAP, OAS o la madre que me parió.
>>
>> Por lo que comentas, casi estoy seguro, que tendrá una configuración del
>> tipo Firewall+Proxy+Gestor de contenidos (websense o los millones que
>> hay) ... eso suele ser lo más normal.
>>
>> También existe la posibilidad, de que tu empresa maneje panoja y se haya
>> gastado 30.000 € en la implantación de un IPS/IDS estilo Intrushield o
>> gaitas similares, con lo que a parte del Firewall + Gestor de
>> Contenidos, tendrá filtro capa 7.
>>
>> Siento no darte ninguna respuesta concreta, quiero que te llegue el
>> mensaje de que con los datos que disponemos no podemos determinar nada.
>> Aun caben todas las posibilidades.
>>
>> Para saber más sobre el ámbito en el que te estás moviendo, si no
>> conoces la topología de red, te aconsejo tirar de herramientas tipo
>> netdiscover y esnifar para obtener info de como está montada la red.
>>
>> Por ejemplo, si la red estuviera mal conmutada y el envio de user/pass
>> se hiciera en crudo, puede ser tan facil como pescar al vuelo un user y
>> passwd con privilegios para validar contra el proxy y no complicarte más
>> la vida.
>>
>> Ufff es que esto nunca es una ciencia exacta, si lo fuera, los auditores
>> estarían en el puto paro >:)
>>
>> Un Saludo.
>
> Donde dije OAS, quise decir OID.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>

O puede pasar lo que me ha sucedido hace algunos dias, simplemente
pones la direccion ip de la maquina en una terminal usando lynx y ya
:s ...

Aun sigo sin entender como es que esta configurada esta red, tiene
(prox... con y al final, ya que tambien bloquea esta palabra), te
logeas en el prox... para poder salir, te bloquean palabras, puertos y
paginas web, tienes que ir con el administrador para darte permisos en
un nodo especial a partir de tu mac, mucha publicidad de que te
rastrean tus conexiones, identificacion casi de voz y pues de nada
sirve.

Por cierto, todo esto de la configuracion del proxy me costo 3 dias de
trabajo, ya que un include de un script tenia la frase "hac..er" con
una k en medio y por no darme cuenta (recordar lo del estupido prox )
no me bajaba el archivo consiguiendo un mal funcionamiento y un
misterio casi irresolvible. Estuve a punto de botar javascript!!!

Por cierto, no le agradeci a Jose por su ayuda, gracias k!

-- 
Atte

ItZtLi

¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸
 Nahui Tonalli Icniuhtli.
¤º°°º¤ø,¸¸,ø¤º°°º¤ø,¸¸,ø¤º°`°º¤ø,¸

Reply to:

Follow-Ups:
- Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
  - From: Jose Luis Gómez <jose.gnu@gmail.com>

References:
- [OT] Tuneleo/Proxy puerto 110/80, es posible?
  - From: "Roberto V." <rovelazquez@minamex.com>
- Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
  - From: Jose Luis Gómez <jose.gnu@gmail.com>
- Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
  - From: "Roberto V." <rovelazquez@minamex.com>
- Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
  - From: Jose Luis Gómez <jose.gnu@gmail.com>
- Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
  - From: Jose Luis Gómez <jose.gnu@gmail.com>

Prev by Date: Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
Next by Date: Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
Previous by thread: Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
Next by thread: Re: [OT] Tuneleo/Proxy puerto 110/80, es posible?
Index(es):
- Date
- Thread