bloquear internet a una sola dirección

[newbiemex]

Hola!...soy novato en estos dispositivos, así que me puse a leer y pues intenté hacer una política para bloquear el internet a una sola dirección ip y no lo logré, pero lo raro del asunto, fue que comencé a probar y al poner una política para esta dirección aunque esté permitido todo y sin ninguna restricción no tengo acceso a internet...no me manda el mensaje de bloqueo...simplemente no me resuelve nada, como si no tuviera conexión...así que mi pregunta sería, es esto normal?...es érroneo lo que estoy haciendo y por eso provoco ese resultado?...yo se que no tendría sentido esa política...pero lo hice por probar y no me explico ese resultado...cualquier ayuda sería muy útil.

mi equipo: Fortigate-100A 3.00-b0662(MR6 Patch 1)

[gabyrossi]

hola, como estas? para bloquear hay varias formas.

contanos cual probaste o como hiciste tus pruebas.

saludos
gabriel

[newbiemex]

Qué tal!...gracias por atender mi pregunta...enseguida trataré de explicar:

En el dispositivo ya existía una política (que la persona que administraba el equipo dejó) que es la siguiente: de internal a wan, origen all (todos los equipos), destino all (todo el internet),always, servicio any, accept.

Entonces...para comenzar a entender el funcionamiento de este aparato, hice una política que según yo impediría el acceso sólamente a un equipo y a una página, la cual puse arriba de la que describí arriba: internal a wan, origen 192.168.0.25, destino all, always, servicio any, accept. Pero en el protection profile, creé uno que solamente bloquearía una URL determinada [Debes identificarte para poder ver enlaces.].

Fue allí donde comenzó mi sorpresa, porque tal vez la política esté mal hecha (apenas estoy tratando de entender como funciona) pero el problema fue que no podía navegar por internet...no cargaba nada...ninguna web....como si no tuviera conexión....así que lo que hice fue quitar el protection profile de la última política que describí...y quedaron como describo a continuación y en ese orden:

internal a wan, origen 192.168.0.25, destino all. always. servicio any, accept. (ya sin filtro)
internal a wan, origen all, destino all, always, servicio any, accept. (tambien sin filtro)

Es aquí donde ya no entiendo, ¿por qué si las dos políticas lo permiten todo, no puedo navegar en la compu 192.168.0.25?...en todos los demas equipos no tengo problemas...así que por favor te pido ayuda para lograr entender la lógica de este aparato....ojalá haya podido explicar mi problema....gracias anticipadas y hasta pronto!

[gabyrossi]

hola, como estas? en la politica que hiciste para la ip 25 le pusiste NAT ???

en donde bloqueaste la direccion abcd.com ??? hiciste una lista de urls? en web filtering ?

saludos
Gabriel

[newbiemex]

Fíjate que hasta pena me da, pero me imagino que has de estar acostumbrado a los errores de principiantes; y efectivamente no tenía el NAT en la política para la .25...lo hice con una lista de URLs y ya está funcionando...Así que te agradezco mucho el tiempo y la atención, y sobre todo la rapidez con que lo haces!!...Seguramente volveré a pedirte asesoría, ya que apenas estoy comenzando en esto, pero por lo pronto eso es todo!....Ahora sí que GRACIAS TOTALES!!

Bueno...tuve que editar, porque una vez más necesito ayuda (más rápido de lo que esperaba)...estoy intentanto bloquear el windows live messenger mediante el perfil de protección en IM/P2P y bloqueando el login...pero se siguen conectando....por ahí leí que puede tal vez actualizando el firmware...pero la verdad no he podido encontrar cual sería la versión que corresponde para mi equipo....o tal vez no es eso y estoy haciendo algo mal....así que si no es mucha molestia nuevamente, agradecería cualquier información que me puediera ayudar...

El equipo: Fortigate-100A 3.00-b0662(MR6 Patch 1)

[gabyrossi]

Hola, como estas? Mira el msn lo bloqueas desde el profile como vos decis.
No habra otra politica arriba donde no tenes profile o el profile que tiene el msn esta libre?

sino, deberia bloqueartelo.

saludos
Gabriel

[newbiemex]

Muchas gracias nuevamente!....te comento que revisé y todo lo tenía bien....en realidad no sé que estaba sucediendo, tal vez no había guardado el cambio o algo así, pero ya está bloqueado!...así que ahora tengo una questión similar...ahora con el ares, fíjate que leí un post que decía como, pero menciona que hay que tener el IPS actualizado y pues ésta es mi última actualización: 2.461 (Actualizado 2008-01-18), sin embargo, para la fecha del post que ví coincidiría. Aún así, cuando entro en la protección de intrusos, en firmas, sólo veo una: Ares.Chat.Join, y en el post mencionan a 3....de cualquier modo...no sé como editarla, en donde hay que darle click??..me podrías ayudar....

[gabyrossi]

Hola, como estas?claro, al no tenerlo actualizado te falta la firma del ares, con esa solo bloquearias el chat del ares.
tendrias que tener el ips actulizado.

en el mr6, tendrias que armar un sensor, para 2p2, y tratar de bloquear los p2p con las firmas que tienes, y en el profile bloquear los demas p2p.

saludos
Gabriel

[newbiemex]

Entendido. Nuevamente te agradezco tu tiempo y tu ayuda. Por aquí nos vemos!!

[gabyrossi]

Hola, de nada.

saludos
Gabriel