restringir el acceso a internet

hola aqui estoy de nuevo con una consulta, lo que pasa que quiero restringir el acceso a internet a dos equipos de mi red local.

tengo un router que me da la salida a internet y el modem lo conecto a un swhict donde estan conectadas las pc's.

entré a la configuracion del modem pero solo me da la opcion de restringir paginas y eso me afecta a otros usuarios. Por el momento he resuelto asignando un IP estatico a los equipos que quiero controlar pero no es tan confiable si el usuario vuelve a dar la opcion de IP dinamicos.

que otras opciones puedo tener?, sera que mi router me debedira brindar esa opcion, es marca Thomson

Muy buenas,

La opcion que menciones es buena ponle los IP estaticos pero no le coloques los DNS del ISP asi no podran salir a internet.
Solo te falto algo, podrias por politicas de grupo negar el acceso hasta las propiedades de la tarjeta de red asi no podran entrar ni cambiar tu configuracion.



suerte....

excelente, no lo habia pensado gracias, yo lo hago y te aviso

Err... Lo siento, pero esta opción no me parece en absoluto adecuada. Me explico.

Si puedes restringir el acceso a la configuración de red a través de políticas de grupo en un servidor de dominio, es que tienes los equipos integrados en un dominio... Un equipo integrado en dominio sin que el DNS apunte al servidor de dominio (o DNS principal del AD) no funcionará adecuadamente (se ralentizará, tendrá errores erráticos en acceso a unidades, etc)... El DNS debe funcionar. Y dado que es el DNS principal tambien deberá ser capaz de resolver dominios externos.

Tienes varias formas... Apunto dos:

1.- No complicarte la vida...
Ya la tienes hecha. Asigna IPs estáticas a esos equipos (fuera del rango DHCP), y deja el DNS apuntando al servidor de dominio como debe ser... Por políticas de grupo, como te dijeron, inhabilita la posibilidad a esos usuarios a tocar la configuración de red en sus ordenadores. En el router deniega el acceso a esas IPs a Internet (filtrado IP).

2.- Complicate un poco, diviértete y... Monta un proxy.
Un proxy squid (incluso un hyve en maquina virtual) gratuito te permitirá hacer labores de proxy autenticado... Tendrás que dar de alta a los usuarios, pero una vez dados tendrán que meter su clave para salir a Internet.

En este caso tu seguridad aumenta, dado que deniegas USUARIOS, no IPs. Si los dos usuarios esos que dices, se sientan en otro equipo, podrán conecctarse a Internet con la primera opción (y con la opción de quitar los DNSs en sus equipos)... Con ésta no (salvo que sepan la clave de un usuario con acceso).

Al menos yo lo haría así... Como te dije, quitar el DNS principal de un equipo en un dominio (que debe apuntar al servidor DNS del dominio, generalmente la misma máquina que actúa como Servidor de Dominio), sólo te traerá problemas de operatividad en esas máquinas dentro del dominio.

Como bien lo mencionas son acertados tus comentarios, pero en la consulta de este post no leo que el diga que tiene un controlador de dominio en la red, tampoco menciona la cantidad de equipos? si bien mencionas el DNS ayuda mucho a una red con gran cantidad de equipos y recursos compartidos pero esto dependera el tamaño de la red.
Si son redes pequeñas que mas da!!!
Yo he trabajado en redes grandes sin y con DNS y no he tenido problema alguno.


Suerte!!!

bueno la red es de 10 equipos mas un recurso compartido. y si existe un servidor de dominio, mas que todo es para poder acceder a aplicaciones(servidor), pero quien da la salida a internet es un router.

ahora bien, el filtrado Ip del que me hablas veo que mi router no lo tiene, solo filtra direcciones de paginas en especifico.

@ bufom:
Con un servidor de dominio, si no dispones de DNS tendrás problemas... Sea o no grande la red. Y si no colocas como DNS principal el del servidor de dominio, tambien tendrás problemas (de ralentización, de acceso a equipos, de retardos en la red, etc...)

Salvo que lo hagas TODO por IP, (salvo la autenticación de usuarios que será bastante más lenta) lo cual no es recomendable.

De hecho, puestos a quitar algún parámetro de la configuración de red, es mucho mejor no poner puerta de enlace, en un dominio, que DNS... Pero siguen siendo soluciones "chapucerillas", en realidad... Al menos en mi opinión ;)

@rafaescalona:
Sería el primer router actual que veo sin filtrado IP. ¿Seguro que no tienes "filtros" o algo similar? Fijo que los usa, aunque solo sea para bloquear el acceso al propio router desde Internet...

Deberías tener una forma de establecer filtros por IP tanto en entrada como en salida (sería raro lo contrario, la verdad)... Otra cosa es que el interfaz sea más o menos intuitivo.

Como te dije, la mejor solución pasa por un proxy autenticado, si no tendrás que restringir acceso por IP filtrando conexiones mediante firewalling (y eso es fácilmente soslayable).

Hola tengo una duda a ver si no me desvió del tema, para restringir el acceso a ciertas paginas tenia un squid pero lo quite porque encontraron la manera de deshabilitarlo de las opciones de Internet, ahora el router donde tengo conectado los modems tiene un firewall bloque algunos dominios por palabras claves incluso si buscas la palabra con el nombre del dominio por google o algún otro buscador si bloquea, he leeido
por ahí que pueden esquivar esto fácilmente usando un proxy online que te permiten esquivar el firewall, la duda es existe alguna otra manera de que me puedan esquivar el firewall? o tengo que ir bloqueando la lista de esas paginas hasta dar con la que usan para esquivar el firewall?

ya vi un fallo de seguridad pasa los dominios con hiperprotocolo de seguridad si esos que terminan con 's' alguien sabe como bloquearlo?

mm ya encontré una manera, la eterna batalla entre el administrador de red y los usuarios :s

Err... El problema no estaba en el squid. No tenías por qué haberlo quitado. El problame estaba en tu configuración... No puedes tener un proxy configurado en los navegadores y permitir la navegación directa en tu salida a Internet... Eso, perdona que te lo diga amigo mio, es una chapuza.

El bloqueo de URLs deberías haberlo hecho en el squid, pero esa máquina TAMBIEN debería haber sido tu gateway de salida a Internet. Con un squid AUTENTICADO, podráis haber denegado el acceso a determinados usuarios, o denegar el acceso a HTTPS a esos determinados usuarios que tratan de saltarse el proxy... Dudo que hubiesen dicho nada.

Si... HTTPS es ese "hiperprotocolo de seguridad si esos que terminan con 's'"... Que no es más que encapsular HTTP en un canal SSL.

Por cierto... Si enocntrastes otra manera de resolver el tema, no hubiese estado mal que lo hubieses compartido aquí con la gente... ¿no crees?

OK el squid lo quite antes de que tuviera ese problema del HTTPS, porque me deshabilitaban la comunicación con la dirección y el puerto, porque no soy el único con derechos de administrador y pues se las ingenian, tienes razón el squid puede ser la mejor alternativa, pero pues decidí quitarlo por eso, y habilitar el firewall que viene con el router, aclaro no tengo nada en contra de squid, es muy buen servidor proxy haz de ser de esos pinguinos fieles porque te me alteraste todo

y pues la manera que encontré fue hacerlo localmente modificando el archivo host del windows no es la mejor opción pero al menos me servirá con los que no tienen derechos de admon

creo que esta es la solucion mas idonea

No... Te equivocas. Yo no me alteré. ¿Por qué iba a alterarme? A mi no me afecta :)

Lo que hice fué señalarte que el problema no estaba en squid, sino en tu mala configuración... Vamos, que el problema no era de la herramienta sino del administrador. Me explico...

Si colocas un proxy/caché SOLO por mejorar velocidad a Internet SIN NINGUNA intención de controlar el acceso web, entonces tu máquina proxy puede ser cualquiera de la red y puede ser diferente de tu gateway... Al fin y al cabo te da igual si la gente se lo salta (peor para ellos, ¿no?).

Pero ese NO era tu caso. Tu querías controlar el acceso a Internet... En ese caso... ¿¿¿Como se te ocurre dejar libre acceso al gateway sin restricción y simplemente decir a los navegadores que usen un proxy??? No estás obligando a usar un proxy... Lo estás "sugiriendo". Cualquiera puede salir a Internet sin NECESIDAD de atravesar ese proxy. ¿Ves el error?

De ahí mi comentario final. Lo que debistes hacer fué que tu máquina proxy FUESE OBLIGATORIAMENTE TU GATEWAY de salida a Internet, instalando y configurando además del squid un iptables. La única máquina conectada por red a tu router debería ser ese proxy/firewall... NINGUNA maquina de la red debería tener acceso a ese router ni físico ni lógico.

Eso es una configuración adecuada para controlar accesos con un proxy... INCLUSO podrías haber usado un proxy transparente Y NO tendrías por qué haber tocado nada en los navegadores (con un proxy transparente no debes poner opción de proxy en los navegadores).

De esa forma te la sopla si tus usuarios tienen acceso de administrador local a sus equipos desde el punto de vista de la salida a Internet.

Si lo que has hecho ha sido tocar los ficheros host locales, desde mi punto de vista has vuelto a hacerlo mal... Te puede parecer la primera opción, pero no deja de ser un "parche chapucero". (OJO, no digo que tú seas un chapuzas... Digo que tu solución lo es y que puedes y debes hacerlo mejor si estás de verdad interesado en este tema).

Si tus usuarios tienen acceso de administrador local y no son idiotas, pueden verificar fácilmente si determinadas IPs se resuelven bien o no... ¿No crees?

Lo mejor es que confies tu seguridad a un elemento al que solo tu tenags acceso y te permita monitorizar la actividad... Ergo... Vuelta al concepto de firewall/proxy/gateway único. Hay configuraciones mas sofisticadas, pero sospecho que con esta tienes mas que suficiente... para empezar.

amigo te equivocaste en la cita yo decia que la solucion mas idonea era esta que tu me comentabas

no la de los host !!

con esto me queda mas claro mi error, recuerdo que en mi escuela así lo tenían, que el proxy era para que fuera mas rápido el Internet y si no lo ponías pues no había salida a Internet, pero no estaban restringidas las paginas, y me comentas que con un transparente no es necesario la configuración en el navegador, pero había leído por ahí que los proxys transparentes si se saltaban los https o no?

.

ya por ultimo una duda mm si el squid lo tengo corriendo en una maquina virtual se puede hacer eso que comentas, que sea la única maquina conectada, no afectaría porque esta en virtual?

Sí. Me equivoqué. Entendí que la solución que te parecía más idónea era la del hosts, lo que me llevó a pensar que no habías entendido lo que trataba de decirte... Sorry.

Todos los proxys se "saltan" el HTTPS... Si quieres verlo así. HTTPS se basa en certificados y un proxy debería tener certificados válidos para poder analizar el tráfico HTTPS (lo cual, lógicamente, sería un problema de seguridad que rompería con la base del SSL). Lo que puedes es restringir por HTTP y HTTPS son las URLs (pero no analizar cabeceras, por ejemplo, o contenidos como si puedes hacer con HTTP)

Necesitarás dos interfaces virtuales... Si la máquina anfitriona que alberga la virtual es segura y está bien controlada, no deberías tener problemas... Salvo qeu necesitarás tener siempre encendida las máquinas anfitriona y la virtual, para que funcione la salida a Internet.