Holas. Tengo un servidor firewall/proxy desde el cual controlo el uso de internet por medio de squidguard.
Solo se puede acceder a internet por proxy, pero para no estar modificando excepciones para ciertos sitios, uso un archivo .pac en cada navegador. Hasta hace poco todo iba de maravilla, hasta que decidieron migrar los correos a office365. Desde ese momento los controles de internet tuvieron que ser practicamente anulados, dando salida total por nat a todas las estaciones. Microsoft muy amablemente tiene publicados los puertos, direcciones y configuraciones necesarias para garantizar que su escenario funcione, asi que me puse en la tarea de crear en el firewall (shorewall que al final es iptables) las excepciones correspondientes publicados por ellos, asi como en el archivo .pac. Cuando vuelvo a activar los controles, comienzan a presentarse inconsistencias que solo se resuelven volviendo a dar salida total sin restricciones. Al parecer lo que esta afectando es que parte de esos servicios funcionan con CDNs de terceros que no publican sus direcciones (y que en varios casos son dinamicas). Mi idea inicial era agregar toda esa cantidad de direcciones a las excepciones del firewall y del archivo.pac, pero cuando ya me dicen que debo autorizar algo como *.microsoft.com no veo como hacer que el firewall comprenda eso. Alguno de ustedes ha tenido un escenario similar y ha logrado solucionarlo? como gestiona esa situacion? Ya llevo varios dias luchando con esto y los jefes estan comenzando a evaluar reemplazar el linux por un fortinet. No busco entrar en discusion acerca de ese producto, pero si deseo poder demostrar que el firewall en linux puede cumplir con la necesidad. gracias a todos. «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein
