Bloquear navegacion y permitir gmail! (SOLUCIONADO)

miroft87

Hola, espero me puedan ayudar, mi problema es que tengo pfsense versión 2.1 y necesito bloquear la navegación a un grupo de usuarios de mi red lan y solo permitir que puedan acceder al correo de gmail.

tengo dos grupos de usuarios : A Y B
Grupo A puede acceder a cualquier lugar
Grupo B solo acceder a gmail.

tengo tres reglas:
1. deja pasar trafico de grupo A hacia cualquier lugar (no hay problema )
2. deja pasar trafico con destino a gmail.com (no funciona, lo bloquea)
3  bloque todo el trafico hacia cualquier parte (ya probe deshabilitando esta regla y sigue igual)

por favor necesito ayuda, urgente!!

acriollo

Creo que pusiste la palabra clave para qe nadie conteste . Urgente, luego cierras con !!!.

Bueno.

las reglas deberan de mas restrictivas a mas generales.

1. permites el acceso a gmail para el alias que lleve la lista de usuarios requeridos
2. bloqueas el trafico a any destination a la lista de usuarios restringidos
3. les das acceso segun tus politicas a todos los demas.

Nota : hay que checar cuales son las ips de gmail para agregarlos a un alias y permitirlo como destino en la regla 1 ( ejemplo de mail.google.com : 74.125.227.53 y 54, pero debe de haber un buen mas.

Si tu colocas una regla que bloquee la salidas para todos en la posicion  1, nadie va a navegar :). esta mal el orden

miroft87

Lo siento por lo de urgente!! ;D.
Muchas gracias por contestar y ayudarme.

quiero comentarte que lo que me recomiendas ya lo hice y no me funciona,
tengo 3 alias
1. A = usuarios sin restriccion
2. B= usuarios con restriccion (solo acceden a gmail)
3  C = ips de gmail.

las reglas las tengo de la siguiente manera.

1)  pass ,source B, any protocolo  any puerto, destination (C) any ,any
2)    block, source B, any protocolo, any puerto, any destination, any any
3)  pass ,soure A, any ,any ,any any, (sin restriccion)

pero no funciona, es decir los usuarios del alias B (restringidos) no son capaces de acceder a gmail, es como si la segunda regla me estuviera por encima de la primera.
caso contrario si lo que quiciera seria bloquear el acceso a gmail a un grupo de usuarios solo cambio las reglas y me funciona perfectamente.

Nuevamente gracias por ayudarme.

cyres

Puedo estar equivocado…
pero creo debes tener una regla que te permita consultar al dns... prueba haciendo la llamada por la ip... si llegas es problema de dns..

miroft87

Amigo cyres, gracias por ayudar.

La verdad esque soy novato en esto y pues no entiendo mucho aque te refieres con, probar haciendo una llamada… si llegas es problema de dns..

me podrias orientar mejor, con una imagen o almenos explicando que significa lo que dices??

Nuevamente gracias!

cyres

@miroft87:

Lo siento por lo de urgente!! ;D.
Muchas gracias por contestar y ayudarme.

quiero comentarte que lo que me recomiendas ya lo hice y no me funciona,
tengo 3 alias
1. A = usuarios sin restriccion
2. B= usuarios con restriccion (solo acceden a gmail)
3  C = ips de gmail.

las reglas las tengo de la siguiente manera.

1)  pass ,source B, any protocolo  any puerto, destination (C) any ,any    <–- esta regla permite cualquier trafico por cualquier puerto a solo la ip, en destinatin(C) tienes una ip DNS..?  agrega la de google 8.8.8.8
2)    block, source B, any protocolo, any puerto, any destination, any any
3)  pass ,soure A, any ,any ,any any, (sin restriccion)

pero no funciona, es decir los usuarios del alias B (restringidos) no son capaces de acceder a gmail, es como si la segunda regla me estuviera por encima de la primera.
caso contrario si lo que quiciera seria bloquear el acceso a gmail a un grupo de usuarios solo cambio las reglas y me funciona perfectamente.

Nuevamente gracias por ayudarme.

Podrias colocar una regla antes que permita el trafico udp al puerto 53 para que resuelva la ip..
Podrias agregarle a tu regla 1 la ip del dns google 8.8.8.8

se me ocurre eso por ahora…

acriollo

Es correcto lo que dice Cyres.

Si utilizas DNS externos deberas de agregar una regla para que te permita acceder a ellos.
si utilizas pfsense como DNS cache y forwarder, mismo tema.

las reglas que necesitarias son :

1 .- acceso a DNS para los usuarios B
2.- Acceso a gmail para usuarios B a las ip de gmail (mail.google.com e ips relacionadas ), (http y https o cualquier protocolo)
3.- bloquear todo el trafico de los usuarios B
4.- acceso a todos lados a usuarios A

Espero te sirva.

miroft87

Me gustaria me dijeran si es correcto y si no me corrijan puesto que aun asi no me funciona!!
debe ser muy poco lo que me hace falta,

si uso dnsforwarder es por eso que pongo lanaddres como destination, no se si es correcto esto.


miroft87

Amigos quiero comentarles  que haciendo lo de la imagen tengo ping gmail.com mail.google.com pero no me abren los sitios no entiendo porque, si se supone que la 2 regla me deja pasar todo el trafico por cualquier puerto incluyendo http y https.

creo que uds tienen razón,  espero me puedan seguir apoyando.

LEPM

yo uso gmail con thunderbird
Configurando las cuentas para usarlas con pop3.
me parce que si acceden via pop3 y solo permites puerto 465 y 995 al destino gmail deberia funcionar!

siempre que el alias "gmail" este correcto.

solo pon esta ip "173.194.75.16" como gmail
algunas cuentas usan pop3.googlemail.com (173.194.75.16)
otras usan pop.gmail.com  (173.194.75.108, 173.194.75.109)

pon esas ip en el alias.

miroft87

LEPM, No entiendo mucho de esto pero, lo que quiero esque los usuarios tengan acceso via web al sitio de gmail.com mail.google.com. lo demas todo absolutamente bloqueado.

si se trata de habilitar internet y bloquear solo gmail funciona sin ningun problema!!
pero si quiero bloquear todo internet y habilitar este sitio, pues nada! no habre.
cabe mencionar que agregando la regla de la imagen que postie anteriormente yo tengo ping solo a gmail y las ip de mi alias (gmail) como pretendo! pero no consigo que me haba en el navegador.

gracias por tu ayuda.

LEPM

@miroft87:

cabe mencionar que agregando la regla de la imagen que postie anteriormente yo tengo ping solo a gmail y las ip de mi alias (gmail) como pretendo! pero no consigo que me haba en el navegador.

gracias por tu ayuda.

considera el acceso via pop3.
es  dificil hacer lo que tu quieres…
no tienes permitido el acceso https a accounts.google.com

miroft87

Gracias por aportar su ayuda, ya lo solucione. tenian razon con lo de la regla de DNS Y

@LEPM:

no tienes permitido el acceso https a accounts.google.com

Esto me ayudo muchisimo gracias amigo LEPM
El problema que tenia esque aun creando la regla de dns no podia entrar a gmail. pero era porque estaba excluyendo la ip de accounts.google.com. la agregue al alias y funciono pero lento muy lento entonces decidi agregar una red entera al alias ej /16 solo para probar y listo abre como rayo.
posteo todo esto porque se que mas de algun novato como yo le puede servir esta informacion.

urbaezesteban

Buen querido amigo podran ayudarme a realizar un bloqueo general del internet y solo permitir gmail a todas las maquinas. de ante mano agradecido.

urbaezesteban

amigo LEMP cuando describes esto

accounts.google.com

es la ip que corresponde a ese host? o darle permiso al nombre como tal, estoy haciendo lo mismo que el amigo pero no entiendo algunas cosas.