[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Controlar navegacion a usuarios de office365

Basicamente con la idea de convertir la lista negra a ip solo
agregaria al firewall las direcciones a bloquear.  Para bloquear
sitios adicionales seria igual convertir la url a ip..  De resto todo
saldria por el nat.

Pero busco algo mas organizado.  Por ejemplo: cuando necesite generar
reportes de navegacion, no tendre como hacerlo ya que no tengo logs
del proxy (pues estan saliendo directamente por nat).

Como gestionan ustedes las conexiones de office 365?
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein


El día 25 de noviembre de 2016, 20:52, Jeison Cardona Gómez
<jeison.cardona@correounivalle.edu.co> escribió:
> ¿De qué manera identificas las direcciones adicionales?
>
>
> El 11/25/2016 a las 07:43 PM, kazabe escribió:
>
> Hola.
>
> El /etc/hosts usaria direcciones estaticas, asi que creo que seguiria el
> mismo problema, si lo que busco es lograr excepciones para office365
>
> la opcion que estoy intentando es tomar una de las listas negras de
> squidguard e intentar convertir sus url a ips, para bloquearlas desde el
> firewall.   Pero creo que debe haber una solucion mas completa.
>
> Sended from KitKat
>
> El nov 25, 2016 6:48 PM, "Jeison Cardona Gómez"
> <jeison.cardona@correounivalle.edu.co> escribió:
>>
>> Y si usas el archivo /etc/hosts ?
>>
>>
>> El 11/25/2016 a las 06:41 PM, kazabe escribió:
>>
>> Holas.
>>
>> Tengo un servidor firewall/proxy  desde el cual controlo el uso de
>> internet por medio de squidguard.
>>
>> Solo se puede acceder a internet por proxy, pero para no estar
>> modificando excepciones para ciertos sitios, uso un archivo .pac en
>> cada navegador.
>>
>> Hasta hace poco todo iba de maravilla, hasta que decidieron migrar los
>> correos a office365.   Desde ese momento los controles de internet
>> tuvieron que ser practicamente anulados, dando salida total por nat a
>> todas las estaciones.
>>
>> Microsoft muy amablemente tiene publicados los puertos, direcciones y
>> configuraciones necesarias para garantizar que su escenario funcione,
>> asi que me puse en la tarea de crear en el firewall (shorewall que al
>> final es iptables) las excepciones correspondientes publicados por
>> ellos, asi como en el archivo .pac.  Cuando vuelvo a activar los
>> controles, comienzan a presentarse inconsistencias que solo se
>> resuelven volviendo a dar salida total sin restricciones.
>>
>> Al parecer lo que esta afectando es que parte de esos servicios
>> funcionan con CDNs de terceros que no publican sus direcciones (y que
>> en varios casos son dinamicas).
>>
>> Mi idea inicial era agregar toda esa cantidad de direcciones a las
>> excepciones del firewall y del archivo.pac, pero cuando ya me dicen
>> que debo autorizar algo como
>>
>> *.microsoft.com
>>
>> no veo como hacer que el firewall comprenda eso.
>>
>> Alguno de ustedes ha tenido un escenario similar y ha logrado
>> solucionarlo? como gestiona esa situacion?
>>
>> Ya llevo varios dias luchando con esto y los jefes estan comenzando a
>> evaluar reemplazar el linux por un fortinet.  No busco entrar en
>> discusion acerca de ese producto, pero si deseo poder demostrar que el
>> firewall en linux puede cumplir con la necesidad.
>>
>> gracias a todos.
>>
>>
>> «Existen dos cosas infinitas:
>> el universo y la estupidez humana... y no estoy muy seguro de la primera»
>> :
>> Albert Einstein
>>
>>
>> --
>> Enviado con Thunderbird
>
>
> --
> Enviado con Thunderbird
Reply to: