Cargando

Bloquear acceso https desde un firewall DFL-260

Bloquear acceso https desde un firewall DFL-260,



18 Respuestas de expertos
Pulsa corazón para recibir avisos de nuevas Respuestas

   AUTOR PREGUNTA

Publicado 07 septiembre 2015 - 18:22

Gracias a todos por responder!

No consigo la manera de hacer que me bloquee una página por IP, pasé el fin de semana intentándolo y no hubo forma.

Pienso igual que Alejandro que la solución está en la respuesta de phqr58 pero no logro hacer que funcione de ninguna forma.



 

Publicado 07 septiembre 2015 - 18:34

Gracias a todos por responder!

No consigo la manera de hacer que me bloquee una página por IP, pasé el fin de semana intentándolo y no hubo forma.

Pienso igual que Alejandro que la solución está en la respuesta de phqr58 pero no logro hacer que funcione de ninguna forma.

 

 

En los proxy/firewall que no tengan filtro de aplicaciones no se puede bloquear https:// porque son páginas encriptadas.

La solución está en aplicar reglas de salida, tomar en cuenta que esta regla debe ser la primera o antes de cualquier otra regla que permita salida por el puerto 443, porque se ejecutan en órden. Si se bloquea por ejemplo las mas comunes (las que anoto mas abajo) Facebook, u otro buscará otras ip, No queda mas remedio, como indican en este foro mas arriba. ir averiguando cada ip, incluso con la mascara por ej. 69.63.176.13/24 esto hay que hacer con cuidado porque podría bloquear sitios que son necesarios para otro usuario. por otro lado también hay que tener cuidado porque youtube usa ip con /https:// de google  

69.63.176.13 
69.63.181.15 
69.63.184.142 
69.63.187.17 
69.63.187.18 
69.63.187.19 
69.63.181.11 
69.63.181.12 

 

Claramente como dice Alejandro y Phqr58 es como podrás porque al ser puerto 443 si el firewall no tiene esa opción de capado de páginas, deberás capar vía IP. Ve añadiendo según vayas encontrando es una opción.

 

La que te voy a comentar yo que también vale podría ser que caparas el puerto 443 (WAN a LAN) a una serie de direcciones internas que no haga falta que lo usen el 443. No es la mejor, pero a mi me sirvió para caparlas al completo temporalmente en algunos ordenadores concretos.



 

Publicado 07 septiembre 2015 - 18:36

Está complicado caparlo hasta por direcciones IP porque tienen multiples IP y las van rotando y cambiando. Pero bueno, ve acumulando y capando a ver hasta donde llega.



   AUTOR PREGUNTA

Publicado 07 septiembre 2015 - 18:40

El problema que agrego las IP que consigo a la Blacklist y no hace el bloqueo.



   AUTOR PREGUNTA

Publicado 08 septiembre 2015 - 04:31

Logré bloquear la conexión a Facebook pero no de la forma que me hubiera gustado ya que el navegador se queda cargando hasta dar error por tiempo de espera y no me muestra la página de bloqueo que trae el Firewall.

 

Lo que hice fue agregar las ip de Facebook con su mascara en las direcciones de interfaces y crear un regla que no me permita conexiones a este grupo de direcciones, no es muy elegante pero por lo menos es algo.

 

Si alguien tiene alguna sugerencia de como hacer este proceso de una forma mejor estaría muy agradecido si me la dice.

 

Por otra parte les doy las gracias a todos los que se interesaron en ayudarme



 

Publicado 08 septiembre 2015 - 09:55

Logré bloquear la conexión a Facebook pero no de la forma que me hubiera gustado ya que el navegador se queda cargando hasta dar error por tiempo de espera y no me muestra la página de bloqueo que trae el Firewall.

 

Lo que hice fue agregar las ip de Facebook con su mascara en las direcciones de interfaces y crear un regla que no me permita conexiones a este grupo de direcciones, no es muy elegante pero por lo menos es algo.

 

Si alguien tiene alguna sugerencia de como hacer este proceso de una forma mejor estaría muy agradecido si me la dice.

 

Por otra parte les doy las gracias a todos los que se interesaron en ayudarme

 

Gracias a tí también por compartir el modo de bloqueo usado.



 

Publicado 08 septiembre 2015 - 17:04

Bueno puedes montar un pequeño servidor web (recomiendo nginx) con una pagina web estatica en html y redireccionas a esa direccion desde el firewall o incluso desde un DNS. Tendras una pagina customizada a tu antojo.



 

Publicado 08 septiembre 2015 - 18:48

Bueno puedes montar un pequeño servidor web (recomiendo nginx) con una pagina web estatica en html y redireccionas a esa direccion desde el firewall o incluso desde un DNS. Tendras una pagina customizada a tu antojo.

 

Esa forma es interesante, pero Jonathan te sirve crear eso para realizar bloqueos HTTPS?



 

Publicado 08 septiembre 2015 - 20:07

La verdad nunca he usado el Firewall que comentas yo te recomiendo que lo uses para HTTP, montes una VM con la distro ClearOS y uses Squid, maneja muy bien el filtro de HTTPS y  puedes customizar la pantalla de Bloqueo por completo.

 

Puedes usar una VM o Docker si ya tienes algun servidor Linux y quieres ahorrar recursos.




X