Es muy probable que sea un filtro del mismo proxy. Softwares como SQUID
tienen esa capacidad, permitiendo y denegando solicitudes de determinadas IP
o rangos IP. En el archivo de configuracion del SQUID deberia haber unas
lineas que especifiquen si determinada IP es o no aceptada y si puede o no
conectarse a determinadas webs. Para comprobarlo, simplemente podes forzar
una IP manual (siempre que la misma no exista ya en la red) que sea
diferente a la que tenes. Por ejemplo, supongamos este hipotetico...

Administrador que se cree power, instala un linux, y configura tres cosas...
SQUID para compartir web (con dansguardian para proteger a los usuarios de
navegacion porno), dhcp para asignar ips automaticas en la red interna (mac
address asociada a ip manual asignada) y iptables para filtrar y hacer un
firewall ma o menos descente, que no deje pasar nada interno a externo y
nada externo a interno ruteando a su vez todo el trafico web interno por
medio del dansguardian q a su vez lo pide a SQUID. Hasta aca, deberia ser
bastante infranqueable, pero, descuido la posibilidad de que powerusuario
cache su PC y cambie la IP y la asigne manualmente (recordar que el DHCP
cuando consulta a la placa de red, recibe su mac address y le da la IP de la
tabla asociada). Como la PC se configura ella sola, puede saltar facilmente
los controles del SQUID ya que las reglas las arma por IPs, salvo q dicho
administrador haya contemplado un rango justo de IPs (son 10 PC, son 10 IP)
y el resto no navegue. Es decir, si SQUID dice ip x.x.x.10 11 12 navegan
pero segmento x.x.x.13 - 19 no y poweruser usa IP x.x.x.99, navega :-D pq
administrador no fue lo suficientemente vivo para bloquear previamente todo
el segmento (2 - 254) antes de habilitar las maquinas 10 - 12. Obviamente
presupongo que si contemplo eso en el IPTABLES.
Ahora, si administrador sea regroso, agarra y hace una tabla en TABLES que
dice que segmento 2-254 puerto 3128 8080 y 80 drop y 10 - 19 recuest puerto
3128 acept (dansguardian o SQUID) y se acabo completamente la fiesta ya que
solo se podran conectar las IP del rango 10-19 para solicitar el puerto del
DANSGUARDIAN y el resto de solicitudes a los puertos 80 3128 y 8080 seran
ignorados para cualquier otra IP. Ahi, se reduce todo a que una PC se "robe"
una de las tres IP posibles, lo cual cuando el DHCP intente dar la IP ya
asignada manualmente genere conflictos, y poco dure el intento del
impostor...
Pero, igualmente, es cosa de la viveza del administrador y de lo permisivo
que sea o del conocimiento que tenga. Por ejemplo, en mi red, usan el puerto
de dansguardian para navegar (Internet Explorer configurado con proxy manual
al puerto 3128) pero si configuran el puerto 8080 se encuentran con el SQUID
(fiaca de no filtrarlo con IPTABLES) y si no ponen ningun proxy, navegan
directo (IPTABLES como NAT). Peroooo, como a ninguno le da la cabeza, no me
preocupa :-) Ademas tengo pocas PC y puedo controlarlos. Pero desde luego,
no es lo recomendable y esos agujeros tienen que taparse.

Es largo igual y muchas son las posibilidades.

Hay que leer mucho, y para joer a un administrador, mas... siempre que sea
buen administrador...

Saludos.

----- Original Message -----
From: "santiago castelli" <castelli_santiago@...>
To: <sos-networking@...>
Sent: Tuesday, January 31, 2006 8:12 PM
Subject: Re: [sos-networking] ip rejected


> Perdón. Desde adentro hacia intranet, con proxy interno.
>
>
>
> Diego Leonardo Revechini <vickingo25@...> escribió:
> Desde adentro hacia la intranet?
> Desde afuera hacia la intranet?
> Usando un proxy interno o externo?
>
> More, more specific please!!!! (mas mas especifico por favor!!!)
>
>
>
>
> ----- Original Message -----
> From: "santiago castelli" <castelli_santiago@...>
> To: <sos-networking@...>
> Sent: Tuesday, January 31, 2006 9:54 AM
> Subject: [sos-networking] ip rejected
>
>
>> Buenas gente. a ver si me pueden ayudar. Tengo un problema para entrar a
>> la intranet de la empresa donde trabajo. En algunas máquinas me tira el
>> siguiente error:
>> Error Message: 403.6 - Forbidden: IP address rejected
>> Ya probé cambiarle la ip que me toma por dhcp, tambien con una fija y me
>> sigue tirando el mismo error.
>> Desde ya muchas gracias.
>> Saludos.
>> Santiago.
>>
>>
>> ---------------------------------
>> 1GB gratis, Antivirus y Antispam
>> Correo Yahoo!, el mejor correo web del mundo
>> Abrí tu cuenta aquí
>
>
>
>
> correo electrónico a: sos-networking-unsubscribe@...
>
> eo electrónico a: sos-networking-unsubscribe@...
>
>
>
>
>
> ---------------------------------
> Enlaces de Yahoo! Grupos
>
> Para visitar el sitio web del grupo, andá a:
> http://ar.groups.yahoo.com/group/sos-networking/
>
> Para cancelar tu suscripción a este grupo, enviá un mensaje a:
> sos-networking-unsubscribe@...
>
> El uso de Yahoo! Grupos está sujeto a las Condiciones del servicio de
> Yahoo!.
>
>
>
>
>
> ---------------------------------
> 1GB gratis, Antivirus y Antispam
> Correo Yahoo!, el mejor correo web del mundo
> Abrí tu cuenta aquí