[FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL (RESOLVIDO)

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Quarta Janeiro 23 17:23:12 BRST 2008 

Alessandro:
Olha só, você falou "redirecionando a porta 80 para 3128", mas veja bem o 
que falei, alguns usuários já vão direto pelo ssl, digitam no navegador: 
https://www.orkut.com (detalhe no httpS), ou seja, não tá indo mais pela 
porta 80, e sim pela 443... ou seja, nada de squid... o que eu fiz, alterei 
a minha regra rdr do proxy transparente, já tinha 80, adicionei 443... e 
tudo que é site https não funciona mais... resumindo: não funfa.

Eduardo:
Resolveu meu amigo, bloqueei os 3 ips mostrados pelo dig e funfou 
perfeitamente... orkut não abre, gmail funciona normalmente... Obrigado!!!

Diego:
Realmente o DIG era o mais correto nesse meu caso... vacilo geral... ;-)

Só para histórico, meu pf.conf ficou assim:

table <orkut_ip> { william } # pessoal autorizado a usar orkut (ips no 
/etc/hosts)
table <orkut_host> { 72.14.0.0/16, 64.223.161.0/24 , 66.249.81.0/24, 
216.239.0.0/16, 209.85.193.85, 209.85.193.86, 209.85.193.87 }

# bloquear ORKUT (excessoes na variavel "orkut_ip")
pass in log quick on $int_if from <orkut_ip> to <orkut_host>
block in log on $int_if proto { tcp, udp } from any to <orkut_host>

Obrigado a todos...

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org

----- Original Message ----- 
From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Wednesday, January 23, 2008 3:50 PM
Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL


Em 23/01/08, Giancarlo Rubio<gianrubio em gmail.com> escreveu:
> pq nao cria uma zona de dns interna para o orkut.com colocando para
> responder como localhost ou algo assim?
>
> Em 23/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> 
> escreveu:
> > Alessandro,
> >
> > Estou falando de proxy transparente, no meu IE não tem configuração
> > alguma... o seu também está assim? no seu firewall você está fazendo RDR 
> > da
> > porta 80 e 443 para o squid? (no meu caso dansguardian)????
> >
> > Eu tentei, e o https não funciona, não abre nada...
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> >                       Powered by ....
> >
> >                                            (__)
> >                                         \\\'',)
> >                                           \/  \ ^
> >                                           .\._/_)
> >
> >                                       www.FreeBSD.org
> >
> >
> > ----- Original Message -----
> > From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Wednesday, January 23, 2008 3:14 PM
> > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> >
> >
> > Em 23/01/08, Alessandro de Souza Rocha<etherlinkii em gmail.com> escreveu:
> > > Em 23/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> > > escreveu:
> > > > Boa tarde Diego!
> > > >
> > > > O meu é transparente...
> > > >
> > > > Eduardo: se você der um ping em www.orkut.com ele vai retornar o
> > > > seguinte:
> > > >
> > > > [root em netserver:/etc/firewall] # ping www.orkut.com
> > > > PING orkut.l.google.com (209.85.193.85): 56 data bytes
> > > >
> > > > Resumindo: os ips estão na classe 209.85.193.xxx
> > > >
> > > > Agora pingando www.gmail.com:
> > > >
> > > > [root em netserver:/etc/firewall] # ping www.gmail.com
> > > > PING googlemail.l.google.com (66.249.83.83): 56 data bytes
> > > >
> > > > Blz, os ips estão em classe diferente... parece bem fácil... agora
> > > > quando o
> > > > usuário tenta LOGAR no gmail, ele redireciona o tráfego para
> > > > 209.85.193.xxx,
> > > > ou seja, a regra do orkut bloqueia...
> > > >
> > > > Pingando images.orkut.com tenho:
> > > >
> > > > [root em netserver:/etc/firewall] # ping images.orkut.com
> > > > PING bs-orkut.l.google.com (72.14.247.87): 56 data bytes
> > > >
> > > > Observe que já trato essa rede 72.14 na tabela <orkut_host>
> > > >
> > > > table <orkut_host> { 72.14.0.0/16, 64.223.161.0/24 , 66.249.81.0/24,
> > > > 216.239.0.0/16, 209.85.193.0/24 }
> > > >
> > > > Bem complicado hein?
> > > >
> > > > Abraço,
> > > >
> > > >
> > > > --
> > > > Welkson Renny de Medeiros
> > > > Focus Automação Comercial
> > > > Desenvolvimento / Gerência de Redes
> > > > welkson em focusautomacao.com.br
> > > >
> > > >
> > > >
> > > >                       Powered by ....
> > > >
> > > >                                            (__)
> > > >                                         \\\'',)
> > > >                                           \/  \ ^
> > > >                                           .\._/_)
> > > >
> > > >                                       www.FreeBSD.org
> > > >
> > > >
> > > > ----- Original Message -----
> > > > From: "Diego Pitombeira" <pitombera em gmail.com>
> > > > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> > > > <freebsd em fug.com.br>
> > > > Sent: Wednesday, January 23, 2008 2:56 PM
> > > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> > > >
> > > >
> > > > Welkson Renny de Medeiros escreveu:
> > > > > Eu tenho os dois!
> > > > >
> > > > > A bronca é que o tráfego é SSL (porta 443).
> > > > >
> > > > > Eu posso até bloquear o usuário de tentar: http://www.orkut.com, 
> > > > > mas
> > > > > não
> > > > > dele tentar https://www.orkut.com
> > > > >
> > > > > Abraço,
> > > > >
> > > > >
> > > > Bem, desculpe-me se estiver errado mas o Squid(  Sem ser 
> > > > transparente )
> > > > suporta SSL normalmente.
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > aki tambem e transparent so que o squid filtra o conteudo tanto por
> > > dominio ou palabras
> > >
> > > o aceso aki e liberado por ips tem acesso liberado entre termo ,
> > > acesso .gov tem acesso livre.
> > >
> > >
> > > --
> > > Alessandro de Souza Rocha
> > > Administrador de Redes e Sistemas
> > > Freebsd-BR User #117
> > >
> >
> > mesmo ele digitanto https://orkut.com ele nao acessa.
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > Freebsd-BR User #117
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Giancarlo Rubio
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Welkson, sim redirecionamento da porta 80 pra 3128. usando tanto ie ou
firefox sem configura no browser ip algun squid fazendo filtro.
so que como te falei faco liberacao por ip crio 3 acl tipo ips ta sao
acesso liberado mais con retricao de pornografia outra acl com ips tal
so .gov e outra acl com acesso livre total.



-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd