[FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL

Alessandro de Souza Rocha etherlinkii em gmail.com
Quinta Janeiro 24 12:07:33 BRST 2008 

Em 24/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> escreveu:
> Cristiano,
>
> Proxys tem aos montes pela internet... o dansguardian tem uma boa lista
> desses casos (geralmente são http, é fácil bloquear)... mesmo assim todo dia
> aparece novos... complicado.
>
> Pedi para alguns amigos testarem a regra que fiz no firewall, e adivinha? me
> ferrei novamente, devido a centralização de contas (gmail/orkut/) tudo passa
> por um único IP... mesmo eu bloqueando TODOS aqueles mostrados no dig
> www.orkut.com, os caras ainda conseguem acessar, vejam:
>
> dig www.google.com
> www.google.com.         601504  IN      CNAME   www.l.google.com.
> www.l.google.com.       200     IN      A       209.85.193.103
> www.l.google.com.       200     IN      A       209.85.193.99
> www.l.google.com.       200     IN      A       209.85.193.147
> www.l.google.com.       200     IN      A       209.85.193.104
>
> dig  www.gmail.com
> www.gmail.com.          26211   IN      CNAME   mail.google.com.
> mail.google.com.        112557  IN      CNAME   googlemail.l.google.com.
> googlemail.l.google.com. 283    IN      A       66.249.83.83
> googlemail.l.google.com. 283    IN      A       66.249.83.19
>
> dig www.orkut.com
> www.orkut.com.          147     IN      CNAME   orkut.l.google.com.
> orkut.l.google.com.     147     IN      A       209.85.193.85
> orkut.l.google.com.     147     IN      A       209.85.193.86
>
> Blz, bloqueei os dois mostrados no www.orkut.com... pedi para eles
> acessarem, fiquei analisando no tcpdump:
>
> [root em netserver:~] # tcpdump -n -i rl0 src host 192.168.0.200 and not dst
> host 192.168.0.254
>
> Olha só o que acontece, primeiro o dns joga para os ips listados no dig
> www.orkut.com (193.85, 86)... não consegue... (vejo o bloqueio pelo pf)...
> depois de algumas tentativas o dns joga para o ip 209.85.193.99, e as vezes
> para o 209.85.193.104 (observe que esses ips são do dig www.google.com)...
> ou seja, quando eu bloqueio os dois nem o site da google abre mais... rsrsrs
> (imagina o gmail).
>
> Cristiano, na minha rede aqui também tenho alguns setores onde nego tudo,
> exceto alguns .gov, bancos, etc... blz.. mais a grande maioria usam muita
> coisa da internet, por isso prefiro o dansguardian...
>
> Vejam essa thread que entenderão meu dilema:
> http://www.fug.com.br/historico/html/freebsd/2007-02/msg00032.html
>
> Abraço,
>
> Welkson Renny
>
>
> ----- Original Message -----
> From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Thursday, January 24, 2008 9:56 AM
> Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
>
>
> Em 24/01/08, Cristiano Maynart Pereira<cpereira em unisc.br> escreveu:
> >
> >
> > > -----Original Message-----
> > > From: freebsd-bounces em fug.com.br
> > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Welkson
> > > Renny de Medeiros
> > > Sent: quinta-feira, 24 de janeiro de 2008 10:04
> > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> > >
> > > Alessandro,
> > >
> > >
> > > O problema eu já resolvi bloqueando os IPs mostrado pelo DIG... blz!
> > >
> > > Eu tenho o "orkut.com" no bannedsitelist do dansguardian...
> > > funciona bem...
> > > (quando acessam via http, http://www.orkut.com, https é outra
> > > conversa - porta 443).
> > >
> > > A confusão todinha foi o seguinte, no seu email você deixa
> > > entender que consegue filtrar HTTPS pelo squid/dans de forma
> > > transparente... e pelo que li e já vi aqui no fug isso não é
> > > possível... é só isso que quero entender...
> > >
> > > Abraço,
> > >
> > > Welkson
> > >
> >
> > No caso do orkut utilizando filtro por string e não por IP, lembre-se de
> > outros endereços que apontam para ele como orkat.com, orcut.com e
> > aconselho a usar expressão regular, pois também pode ser acessado por
> > exemplo com images.orkut.com. Além disso, usar a categoria do dansguardian
> > que bloqueia sites que fazem proxy via web, para evitar que os espertinhos
> > acessem os sites filtrados através de outras páginas.
> >
> >
> > Cristiano Maynart Pereira
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> eu nao uso o dans, so squid mesmo, questao toda que a minha base de
> liberacao de acesso a internet das maquina e baseada no ip das
> maquinas criei algumas acls como liberado mais com retricao a sexo e
> outras coisas, outra acl que libera ip somente a gov e outra que
> libera uns ips de acesso livre, so que tenho outra acls de bloqueio
> onde contem dominios e palavras tipo sexo etc, nisso tudo vou
> encaixando os ips diacordo com que eu quero so isso.
>
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> Freebsd-BR User #117
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

eu li, agora o estranho que aki funciona o bloqueio a parte financeira
usa o gerenciador financeiro do banco de brasil sem problemas nenhum,.
vou da uma aprofundada depois posta na lista pra vc olhar.

-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117

Mais detalhes sobre a lista de discussão freebsd