Controlar navegacion a usuarios de office365
Holas.
Tengo un servidor firewall/proxy desde el cual controlo el uso de
internet por medio de squidguard.
Solo se puede acceder a internet por proxy, pero para no estar
modificando excepciones para ciertos sitios, uso un archivo .pac en
cada navegador.
Hasta hace poco todo iba de maravilla, hasta que decidieron migrar los
correos a office365. Desde ese momento los controles de internet
tuvieron que ser practicamente anulados, dando salida total por nat a
todas las estaciones.
Microsoft muy amablemente tiene publicados los puertos, direcciones y
configuraciones necesarias para garantizar que su escenario funcione,
asi que me puse en la tarea de crear en el firewall (shorewall que al
final es iptables) las excepciones correspondientes publicados por
ellos, asi como en el archivo .pac. Cuando vuelvo a activar los
controles, comienzan a presentarse inconsistencias que solo se
resuelven volviendo a dar salida total sin restricciones.
Al parecer lo que esta afectando es que parte de esos servicios
funcionan con CDNs de terceros que no publican sus direcciones (y que
en varios casos son dinamicas).
Mi idea inicial era agregar toda esa cantidad de direcciones a las
excepciones del firewall y del archivo.pac, pero cuando ya me dicen
que debo autorizar algo como
*.microsoft.com
no veo como hacer que el firewall comprenda eso.
Alguno de ustedes ha tenido un escenario similar y ha logrado
solucionarlo? como gestiona esa situacion?
Ya llevo varios dias luchando con esto y los jefes estan comenzando a
evaluar reemplazar el linux por un fortinet. No busco entrar en
discusion acerca de ese producto, pero si deseo poder demostrar que el
firewall en linux puede cumplir con la necesidad.
gracias a todos.
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein
Reply to: