[FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL (RESOLVIDO)
Alessandro de Souza Rocha
etherlinkii em gmail.com
Quarta Janeiro 23 18:12:24 BRST 2008
Em 23/01/08, Alessandro de Souza Rocha<etherlinkii em gmail.com> escreveu:
> Em 23/01/08, Eduardo Gielamo Oliveira<eduardo em fea.unicamp.br> escreveu:
> > Não esquece do images.orkut.com... essa é a porta dos fundos...
> >
> > ----- Original Message -----
> > From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Wednesday, January 23, 2008 5:23 PM
> > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL (RESOLVIDO)
> >
> >
> > Alessandro:
> > Olha só, você falou "redirecionando a porta 80 para 3128", mas veja bem o
> > que falei, alguns usuários já vão direto pelo ssl, digitam no navegador:
> > https://www.orkut.com (detalhe no httpS), ou seja, não tá indo mais pela
> > porta 80, e sim pela 443... ou seja, nada de squid... o que eu fiz, alterei
> > a minha regra rdr do proxy transparente, já tinha 80, adicionei 443... e
> > tudo que é site https não funciona mais... resumindo: não funfa.
> >
> > Eduardo:
> > Resolveu meu amigo, bloqueei os 3 ips mostrados pelo dig e funfou
> > perfeitamente... orkut não abre, gmail funciona normalmente... Obrigado!!!
> >
> > Diego:
> > Realmente o DIG era o mais correto nesse meu caso... vacilo geral... ;-)
> >
> > Só para histórico, meu pf.conf ficou assim:
> >
> > table <orkut_ip> { william } # pessoal autorizado a usar orkut (ips no
> > /etc/hosts)
> > table <orkut_host> { 72.14.0.0/16, 64.223.161.0/24 , 66.249.81.0/24,
> > 216.239.0.0/16, 209.85.193.85, 209.85.193.86, 209.85.193.87 }
> >
> > # bloquear ORKUT (excessoes na variavel "orkut_ip")
> > pass in log quick on $int_if from <orkut_ip> to <orkut_host>
> > block in log on $int_if proto { tcp, udp } from any to <orkut_host>
> >
> > Obrigado a todos...
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Wednesday, January 23, 2008 3:50 PM
> > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> >
> >
> > Em 23/01/08, Giancarlo Rubio<gianrubio em gmail.com> escreveu:
> > > pq nao cria uma zona de dns interna para o orkut.com colocando para
> > > responder como localhost ou algo assim?
> > >
> > > Em 23/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> > > escreveu:
> > > > Alessandro,
> > > >
> > > > Estou falando de proxy transparente, no meu IE não tem configuração
> > > > alguma... o seu também está assim? no seu firewall você está fazendo RDR
> > > > da
> > > > porta 80 e 443 para o squid? (no meu caso dansguardian)????
> > > >
> > > > Eu tentei, e o https não funciona, não abre nada...
> > > >
> > > > --
> > > > Welkson Renny de Medeiros
> > > > Focus Automação Comercial
> > > > Desenvolvimento / Gerência de Redes
> > > > welkson em focusautomacao.com.br
> > > >
> > > >
> > > >
> > > > Powered by ....
> > > >
> > > > (__)
> > > > \\\'',)
> > > > \/ \ ^
> > > > .\._/_)
> > > >
> > > > www.FreeBSD.org
> > > >
> > > >
> > > > ----- Original Message -----
> > > > From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > > <freebsd em fug.com.br>
> > > > Sent: Wednesday, January 23, 2008 3:14 PM
> > > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> > > >
> > > >
> > > > Em 23/01/08, Alessandro de Souza Rocha<etherlinkii em gmail.com> escreveu:
> > > > > Em 23/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> > > > > escreveu:
> > > > > > Boa tarde Diego!
> > > > > >
> > > > > > O meu é transparente...
> > > > > >
> > > > > > Eduardo: se você der um ping em www.orkut.com ele vai retornar o
> > > > > > seguinte:
> > > > > >
> > > > > > [root em netserver:/etc/firewall] # ping www.orkut.com
> > > > > > PING orkut.l.google.com (209.85.193.85): 56 data bytes
> > > > > >
> > > > > > Resumindo: os ips estão na classe 209.85.193.xxx
> > > > > >
> > > > > > Agora pingando www.gmail.com:
> > > > > >
> > > > > > [root em netserver:/etc/firewall] # ping www.gmail.com
> > > > > > PING googlemail.l.google.com (66.249.83.83): 56 data bytes
> > > > > >
> > > > > > Blz, os ips estão em classe diferente... parece bem fácil... agora
> > > > > > quando o
> > > > > > usuário tenta LOGAR no gmail, ele redireciona o tráfego para
> > > > > > 209.85.193.xxx,
> > > > > > ou seja, a regra do orkut bloqueia...
> > > > > >
> > > > > > Pingando images.orkut.com tenho:
> > > > > >
> > > > > > [root em netserver:/etc/firewall] # ping images.orkut.com
> > > > > > PING bs-orkut.l.google.com (72.14.247.87): 56 data bytes
> > > > > >
> > > > > > Observe que já trato essa rede 72.14 na tabela <orkut_host>
> > > > > >
> > > > > > table <orkut_host> { 72.14.0.0/16, 64.223.161.0/24 , 66.249.81.0/24,
> > > > > > 216.239.0.0/16, 209.85.193.0/24 }
> > > > > >
> > > > > > Bem complicado hein?
> > > > > >
> > > > > > Abraço,
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Welkson Renny de Medeiros
> > > > > > Focus Automação Comercial
> > > > > > Desenvolvimento / Gerência de Redes
> > > > > > welkson em focusautomacao.com.br
> > > > > >
> > > > > >
> > > > > >
> > > > > > Powered by ....
> > > > > >
> > > > > > (__)
> > > > > > \\\'',)
> > > > > > \/ \ ^
> > > > > > .\._/_)
> > > > > >
> > > > > > www.FreeBSD.org
> > > > > >
> > > > > >
> > > > > > ----- Original Message -----
> > > > > > From: "Diego Pitombeira" <pitombera em gmail.com>
> > > > > > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> > > > > > <freebsd em fug.com.br>
> > > > > > Sent: Wednesday, January 23, 2008 2:56 PM
> > > > > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> > > > > >
> > > > > >
> > > > > > Welkson Renny de Medeiros escreveu:
> > > > > > > Eu tenho os dois!
> > > > > > >
> > > > > > > A bronca é que o tráfego é SSL (porta 443).
> > > > > > >
> > > > > > > Eu posso até bloquear o usuário de tentar: http://www.orkut.com,
> > > > > > > mas
> > > > > > > não
> > > > > > > dele tentar https://www.orkut.com
> > > > > > >
> > > > > > > Abraço,
> > > > > > >
> > > > > > >
> > > > > > Bem, desculpe-me se estiver errado mas o Squid( Sem ser
> > > > > > transparente )
> > > > > > suporta SSL normalmente.
> > > > > > -------------------------
> > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > >
> > > > > > -------------------------
> > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > >
> > > > > aki tambem e transparent so que o squid filtra o conteudo tanto por
> > > > > dominio ou palabras
> > > > >
> > > > > o aceso aki e liberado por ips tem acesso liberado entre termo ,
> > > > > acesso .gov tem acesso livre.
> > > > >
> > > > >
> > > > > --
> > > > > Alessandro de Souza Rocha
> > > > > Administrador de Redes e Sistemas
> > > > > Freebsd-BR User #117
> > > > >
> > > >
> > > > mesmo ele digitanto https://orkut.com ele nao acessa.
> > > >
> > > > --
> > > > Alessandro de Souza Rocha
> > > > Administrador de Redes e Sistemas
> > > > Freebsd-BR User #117
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > > --
> > > Giancarlo Rubio
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > Welkson, sim redirecionamento da porta 80 pra 3128. usando tanto ie ou
> > firefox sem configura no browser ip algun squid fazendo filtro.
> > so que como te falei faco liberacao por ip crio 3 acl tipo ips ta sao
> > acesso liberado mais con retricao de pornografia outra acl com ips tal
> > so .gov e outra acl com acesso livre total.
> >
> >
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > Freebsd-BR User #117
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Sim, eu sei que pode digitar isso mais aki nao roda, eu nao bloqueio o
> porta 443 ssl
> eu crio as acl depois executo o squid e pronto.
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> Freebsd-BR User #117
>
fiz teste aki mesmo colocando https://orkut.com ele vai cair no
google.com mais como eu libero acesso por ip eu sei quem tem acesso e
nao tem ao orkut.
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
Mais detalhes sobre a lista de discussão freebsd