Foros del Web » Administración de Sistemas » Seguridad y redes » Administración de redes corporativas »

Dudas sobre Winproxy

Estas en el tema de Dudas sobre Winproxy en el foro de Administración de redes corporativas en Foros del Web. Tres dudas sobre un escenario proxy: 1-Montamos Winproxy, y navegamos, pero yo no hacía ping a ninguna ip pública. Osea, que teniendo el proxy "de ...
  #1 (permalink)  
Antiguo 26/04/2011, 02:28
 
Fecha de Ingreso: marzo-2004
Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 8 meses
Puntos: 1
Dudas sobre Winproxy

Tres dudas sobre un escenario proxy:

1-Montamos Winproxy, y navegamos, pero yo no hacía ping a ninguna ip pública. Osea, que teniendo el proxy "de por medio", sólo podemos tener tráfico HTTP, o FTP si lo configuramos también, pero ...y si tenemos un servidor SMTP en la red que necesite hacer envios a otros MTU por puerto 25 ?

2-Es lo mismo Winproxy que "Conexión compartida a internet" ? Sé o creo que Winproxy tiene 100 configuraciones más, pero me refiero como proxy básico.

3-En ese escenario no podré publicar servicios, es decir montar en mi LAN un servidor FTP, Web, Mail Server, etc puesto que el proxy no dejará hacer NAT ?

4-¿Tiene Winproxy filtro de contenidos web por palabras clave, y/o filtros por usuarios, o por ip´s ?. Esta sería la finalidad del proxy, entiendo.

Muchas gracias de antemano !
  #2 (permalink)  
Antiguo 26/04/2011, 03:39
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 9 meses
Puntos: 81
Respuesta: Dudas sobre Winproxy

No soy experto en winproxy (hace años lo evalué y lo deseché, la verdad)... Pero intentaré contestarte en la medida de lo posible...

Un concepto básico: Un proxy NO ES un gateway.

Un gateway redirige tráfico... Un proxy recibe peticiones y las hace él al exterior, devolviéndolas posteriormente... Por ejemplo:

Si pides una página web desde un PC de tu LAN a través de un router normal, es tu PC el que se conecta con el servidor remoto y realiza la petición. Si tu PC pide esa misma página a través de un proxy lo que ocurre es que tu PC se la pide al proxy, éste se conecta con el servidor remoto (no tu PC) y pìde la página... Finalmente el proxy la devuelve a tu PC.

Toda la comunicación entre tu PC y el exterior tiene un intermediario (en el caso del proxy).

Vamos a tus preguntas:

1.- Efectivamente. Desconozco si el winproxy dispone de un gateway ICMP para el ping, lo qeu si tiene es un gateway de correo... Es decir, puede REDIRIGIR el tráfico de correo hacia un MTA, no actuando como proxy en ese caso, sino como simple redirector de puertos... (ojo... MTU es una cosa radicalmente distinta :) ). Si dispones de un servidor SMTP no sé por qué querrías pasarlo a través de winproxy, la verdad...

2.- Conexión compartida a internet significa exactamente eso: Una única salida a Internet usada por multiples dispositivos (ordenadores, móviles, impresoras, TPVs, lo que sea)... La forma en que desees controlar o llevar a cabo esa salida es otro tema, y donde entraría winproxy. Winproxy es, al final, un proxy caché que te permite aligerar las peticiones web, controlar accesos de usuarios y algunas otras funcinalidades. Pero son A MAYORES de la conexión compartida a internet. No son cosas comparables.

3.- ¿Por qué no? Al margen de que yo nunca montaría un proxy como unica máquina conectada a Internet, si no dispone además de un firewall y posibilidades de routing... ¿acaso no has oido hablar de las DMZs?

4.- Sí.
  #3 (permalink)  
Antiguo 26/04/2011, 14:02
 
Fecha de Ingreso: marzo-2004
Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 8 meses
Puntos: 1
Respuesta: Dudas sobre Winproxy

Buenas,

Ante todo muchas gracias por tu tiempo.

Tu respuesta es muy densa para mi, llevo tiempo con las redes pero no tanto, y bueno, necesito mejorar ! jeje.

1. Para mi gateway es simplemente la puerta de enlace que configuras en TCP/IP de la tarjeta de red de un equipo, de ahí que dijera la palabra "gatreway" significando puerta de enlace. De hecho, sino me equivoco en los equipos que queramos hacer pasar por el proxy, tendremos que poner en TCP/IP la IP de dicho proxy como puerta de enlace.

2.Hasta donde puedo ver en las opciones de Winproxy, no viene nada relativo a ICMP, de hecho hice un tracert y no me daba respuesta, imagino proque tracert hace pings al fin y al cabo

3. Sí, sé la diferencia entre MTA (Servidor) y MTU (cliente), o eso es lo que sé.

4. La verdad es que cuando me comentas porque quiero poner un servidor SMTP detrás de un proxy me he hecho un esquema de red basado por cierto en DMZ, y llevas razón, de hecho lo hago así con ISA Server.

El esquema que hago es éste:

-LAN: 192.168.3.x /24 (aquí está el proxy para los clientes de la LAN)
-DMZ: 192.168.4.x /24 (servidores: correo, web, ftps, ssh, etc)
-ISA con 3 tarjetas de red
-router

5. Debo tener un concepto equivocado entonces de proxy porque para mi era aproximadamente lo mismo que "conexión compartida a internet" ya que como dices, en este caso, muchos dispositivos saldrán a internet por el pc donde se habilite "conexión compartida..." al igual que en el caso del proxy.

Por decirlo de esta manera: varios pc´s o dispositivos con un intermediario (proxy o conexión compartida a internet) que acceden a recursos en internet.


6. ¿Porque desechaste Winproxy? Sino es mucho preguntar? . En mi red de empresa, que me recomendarías. Tengo un ISA Server pero no me hace restricción de webs por palabras clave, es la versión 2004 SP3 de ISA.
De alguna manera, ISA es router,proxy y firewall, no?. Osea, rutea de la LAN a la perimetral o DMZ y vicerversa (según configures), rutea hacia WAN, también es proxy porque hace control de ip´s y usuarios para salir a internet y es firewall como su característica principal, diría yo.

Muchas gracias y perdón por el tocho de texto que me ha salido !!
  #4 (permalink)  
Antiguo 27/04/2011, 02:50
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 9 meses
Puntos: 81
Respuesta: Dudas sobre Winproxy

Ok... Vamos de nuevo por partes...

1.- Un "gateway" es, efectivamente, una puerta de enlace entre dos o más redes. Habitualmente se trata de un aparato que permite rutar entre redes y/o entre protocolos de red diferentes.

Un proxy NO es un gateway, si bien puede realizar funciones de "relaying"... Pero para que funcione como gateway, debería estar configurado con capacidades de routing entre las redes que va a conectar. De lo contrario, tendría que ser capaz de hacer forwarding de todo tipo de protocolos (¿para qué?)... Esto no es ni necesario ni eficiente... Para eso está el routing.

Un proxy es una aplicación que se encarga de situarse "en medio" de una comunicación... No de "encaminarla" (como haría un router), sino de interceptarla y manipularla de alguna manera... Generalmente a nivel de capa de aplicación (HTTP, SMTP, POP, etc...). Como dije en mi post anterior, la comunicación con el exterior la realiza el proxy, que posteriormente entrega los resultados, si procede, al cliente que le hizo la petición... Es un "intermediario", si prefieres verlo así.

Y NO necesariamente tiene por qué ser la puerta de enlace. Puede ser cualquier otra máquina (cualquier otra IP)... Salvo que configures un proxy transparente. En cualquier caso, si es la puerta de enlace deberá incluir funciones de router (y a ser posible de firewall para filtrado a nivel IP, cosa que NO hace un proxy, dado que trabaja en la capa de aplicación).

Tanto en tu navegador, como en la mayoría de los programas que disponen de conexión a internet, sueles tener una forma de configurar la IP del proxy (para el caso habitual de que no se trate de la misma máquina que la puerta de enlace).

2.- tracert realiza una estimación del camino recorrido por los paquetes usando protocolo ICMP... Sí, el mismo protocolo que el ping (aunque es un programa diferente). Como te dije, dudo mucho que el winproxy incluya capacidades de redireccionamiento ICMP... Escaparía a las funciones de un "proxy".

3.- MTU = "Maximum transmission unit". No tiene NADA, pero NADA que ver con el correo... Se refiere a la unidad máxima de transimisión (bytes) que puede enviarse en un paquete IP entre redes... Nada que ver con el correo. Por eso hay que tener cierto cuidado al usar "siglas"... Pueden llevar a engaño a nada que te despistes.

Supongo que pretendías decir MUA (Mail User Agent) para freferirte a un cliente de correo... En cualquier caso, si pretendes hacer relay desde un servidor SMTP a otros, estás hablando de comunicarte con un MTA (Mail Transfer Agent), supongo.

4.- Tu configuración parece correcta. Si configuras bien tu firewall, debería funcionar adecuadamente. En este caso, parece obvio que el ISA sería la máquina adecuada para actuar como gateway (incluye routing y filtrado IP). Si pones el proxy en orta máquina, simplemente deberías indicar en los clientes que quieres que usen proxy (las comunicaciones que quieras controlar) la IP del proxy (configurable en la mayoría de los prorgamas, como te dije)... Luego en el ISA tan sólo permites al proxy que haga peticiones a Internet (filtrado IP), por ejemplo.

5.- Sí, un poco equivocado el concepto... No es que un proxy no se use como una manera de dar conexión compartida a Internet... Es, simplemente, que tienes muchas ortas formas de dar esa salida compartida (y dependiendo del tipo de salida que necesites, un proxy podría no valerte).

6.- Porque la potencia requerida, los recursos, los costes asociados y los "cuelgues" ocasionales de conexiones eran algo que no me ocurría con otro tipo de configuración. Era menos potente, menos escalable, menos estable y mas caro, en conjunto, que una solución basada en Linux. La decisión fué fácil :)

Con un ISA dispones de todo ese tipo de funcionalidades, es cierto... Pero, como te digo, soy mucho más partidario de soluciones basadas en Linux. Me aportan muchas más flexibilidad a la hora de decidir que herramienta usar para qué cosa, y me resulta mucho más potente y económico (ni pago ISA, ni S.O., ni nada de nada).

¿Que hay que conocer más cosas y más a fondo? Pues... En mi humilde opinión eso es completamente falso. Puede que configures un ISA "por defecto" con cuatro cosas (un IPtables o un squid también puedes configurarlo así)... Pero sin los conocimientos necesarios sobre lo que estás haciendo y como fluye la información, tu configuración cojeará en Windows, en Linux y en Pocoyó. Y posiblemente dejes agujeros abiertos completamente innecesarios...

Quien diga que es más fácil configurar un Windows que un Linux... Miente. Actualmente es igual de fácil dejarlos los dos funcionando por defecto. Configurarlos bien requiere conocimientos importantes de ambos sistemas... Y Linux, en general, es más sencillo (sin tantas vueltas ni "casillas extrañas" que marcar en 15 pantallas de un asistente), da mas información de errores y problemas (los logs son bastante más claros), no tienes un registro que se te llene de "mierda" ni un sin fín de cosas más... Tu control sobre el sistema es más amplio, en general. Eso te aporta flexibilidad y sencillez a nada que te haces con el sistema.

Esa es, fundamentalmente, la razón de mi decisión... Por supuesto, no deja de ser una valoración personal basada en mi propia experiencia personal y profesional.

Y... Perdón por mi "tocho" de texto tambien :)
  #5 (permalink)  
Antiguo 28/04/2011, 15:29
 
Fecha de Ingreso: marzo-2004
Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 8 meses
Puntos: 1
Respuesta: Dudas sobre Winproxy

Hola Moeb,

Muchas gracias por responder tan extensamente !

La información que me das es muy densa para mi, un neófito en estos temas, he trabajado como Admin de Sistemas pero a nivel Active Directory, ISA, Exchange, todo Windows, pero me doy cuenta que me queda mucho por aprender.

Las empresas en las que he trabajado tenían configuraciones simples, sin apenas seguridad, y nada de servidores Linux, todo Windows 2003, 2000 y en algún caso algún NT hace algunos años, pero como te digo me queda mucho en cuanto a Admon de redes.

Gracias Moeb.

Mi profesor me dice: En las empresas, servidores Linux, workstations Windows. Y esto último porque se sabe que el personal de la empresa sabe Windows y no linux. Al final Microsoft se sigue llevando el pato al agua !. Sigue venciendo !

Gracias !!!

Etiquetas: dudas
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 06:47.