Configuracion UT sobre Red Windows

[camelos93]

Hola comunidad:
Es mi primer post pues apenas la semana pasada un amigo me comento sobre la existencia de UT y todas las bondades que tiene. Asi que esa misma semana tome una PC y se lo instale de forma dedicada para empezar a ver como funciona. EL problema que tengo es que nunca habia configurado un firewall y estoy algo confuso con las configuraciones de red. Asi que si alguien me pudiera orientar o apoyar seria genial. El panorama es el siguiente:

Actualmente tengo una red en la cual obviamente tengo mi enlace a traves de un router que a su vez en su E0 se conecta a un switch que da servicio a mis PCs. Del router no tengo forma de modificar nada pues no es mi area de administracion. Mi red esta sobre un dominio de windows y todos los equipos se validan a traves de el.

La idea de meter UT es porque hace poco, bajo este mismo entorno monte un servidor Squid+Dansguardian y me ha dado muy buenos resultados. En este caso lo que realice fue crear en mi servidor de dominio una politica para que los navegadores se configuraran con la direccion del squid para que este haga el bloqueo antes de salir por el router.

Ahora bien, he estado leyendo acerca de UT y veo que requiere 2 tarjetas de red (con mi squid tambien requiere opcional 2 pero con 1 lo he hecho funcionar sin problemas). Y es aqui donde salen mis dudas. Teniendo este entorno ya explicado, como deberia de configurar el equipo en las interfaces interna y externa para que sin necesidad de modificar el gateway que tengo y que me brinda el router (el cual no puedo modificar porque no es parte de mi administracion como comente ya). En lo que he leido en la pagina de UT, se puede hacer esto en el modo bridge, pero es ahi donde me pierdo ya que no se como hacer que mis equipos vean el UT. Comente lo del servidor squid porque quisiera algo parecido en relacion a como ven el equipo (no necesariamente amarrarlo con una politica en mi servidor de dominio) pero si hacer que sin necesidad de modificar la puerta de enlace se pueda ver. O sino, que otras opciones puedo tener para implementarlo.

[dwasserman]

Hola Camelo y bienvenido
Es muy sencillo

Internet
|
|
Router ISP
|
|
external
Untangle en modo bridge
internal
|
|
Lan

NO debes modificar nada en tu red asi, no debes configurar proxy, untangle no es proxy, trabaja en linea.
Le pones a la interface externa del untangle una direccion ip valida y no usada de tu red
Le pones a la interface interna en modo bridge con la externa
Y con eso ya tienes lo basico para proteger tu red

[camelos93]

Muchas gracias dwasserman. Especificamente habia leido los post que has dejado y esperaba tener suerte en que me contestaras. Entonces en conclusion solo tengo que ponerle una IP del rango de mi red solo a la interfaz externa y a la interna dejarla en modo bridge sin ponerle otra ip. Con esto ya mis equipos se conectarian o verian el UT y empezaria a funcionar, es correcto (obviamente tendria que tener configuradas ya las Aplicaciones y servicios) ¿?. Lo del proxy fue un ejemplo de como queria que quedara fisicamente, pero se supone que UT tambien te puede realizar ese tipo de filtrados con el Web Filter, no ?

[dwasserman]

SI, el web filter filtra , pero no tiene funcionalidad de proxy.
La ip del UT en modo bridge es solo para poder administrarlo, no cumple otra funcion, mantienes tu puerta de enlace en el router para los equipos de tu lan. Es la manera mas transparente y comoda de trabajar, ya que se inserta facil, y tambien en caso de haber un problema, se saca facil.
Para entender mejor el concepto, piensa en untangle como si fuera un switch de 2 bocas , que lee el trafico que pasa y toma decisiones de bloquear o no (tambien es anti spam, anti virus, etc)

[camelos93]

Gracias dwasserman. Ya configure las interfaces como me lo planteas pero al parecer no esta funcionando. Creo que va a ser porque no tengo definido algun direccionamiento de puerto pero no quiero intentarlo en este momento pues hay muchas personas usando el internet y no se como vayan a tomarlo. Por la noche hare las pruebas pertinentes pero si tengo alguna duda te agradeceria como hasta ahora el apoyo. Saludos

[dwasserman]

Instala el untangle conectado en tu red

Internet
|
|
Router
|
|
switch---external Untangle----internal----pc para pruebas
|
|
Resto de la red

Asi puedes instalar y configurar, bajar las aplicaciones, etc, desde la pc de pruebas haces las pruebas que precises sin molestar tu entorno actual.
Cuando ya estes comodo manejandolo, lo pasas al dibujo del post anterior.
Suerte

[camelos93]

Hola dwassermen:

FIjate que he realizado las pruebas bajo el ultimo modelo que me pusiste y han sido exitosas. Bueno hasta el momento las cosas que he configurado parece que me estan funcionando pues he podido lograr bloquear programas de chat activos y paginas web. Pero ahora tengo 2 dudas:
1. Sabes como se puede realizar el bloqueo del messenger desde la pagina de hotmail ¿?. Lo que pasa es que ese no lo he podido bloquear, todas las paginas de chat si esa en especifico no. No pretendo bloquear todavia hotmail porque no quiero causar revuelo pero si necesito bloquear por el momento solo el chat
2. Tengo equipos especiales a los que no debo denegarles los programas de chat. Incluso aqui se usa mucho el google talk por ser mas ligero pero tengo personas que usan ambos. No he visto la regla en la que pueda omitir, asi como en web filter, los equipos que quiero darles acceso. No se si pueda lograr eso

Saludos y gracias por tu apoyo!

[dwasserman]

Para ese tipo de funcionalidades, lo mejor es la combinacion del filtro esoft + policy manager + directory connector, los 3 de pago.
Pero puedes bajar es instalar la version de prueba por 15 dias a ver si te sirve funcionalmente y economicamente.

[camelos93]

Hola nuevamente dwasserman :

Fijate que nuevamente segui tu consejo e iba a empezar a usar el apartado de Directory Connector. De entrada si pude conectar mi AD. Mi problema es que para poder hacer las pertinentes pruebas tenia que desconectar el equipo al que tenia conectada la interfaz interna (bridge). Entonces me avente a conectar ya el equipo como el primer diagrama que me pusiste pero fijate que no me funciono y no se a que se debe. Tengo un Router Cisco cuya interface FE se conecta a un switch Catalyst y el cual brinda servicio a mis usuarios. De acuerdo al diagrama de pruebas (el segundo) yo conecte la interfaz externa a un puerto de ese switch y la interna a una computadora. Hice varias pruebas y funciono. Pero ahora, de acuerdo al primer diagrama, lo que hice fue conectar la FE del Router directamente a la interface externa de mi UT y la interna la conecte al switch Catalyst. No me funciono pues deje a todos los equipos sin internet (obvio ya no habia nadie en las oficinas asi nadie protesto). Pense que requeria un cable cruzado para conectar directamente la PC al Router pero no funciono, ni conectandolo a la interna ni a la externa. Cambien tambien la configuracion de la interfaz interna a static y le asigne una IP dentro del rango de mi red y tampoco. Que estare haciendo mal¿?

[camelos93]

Hola. El dia de hoy conecte las dos tarjetas directamente al switch para ver si asi funcionaba pero lamentablemente tampoco funciono. Alguna idea de lo que estoy haciendo mal ¿?