[FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
Alessandro de Souza Rocha
etherlinkii em gmail.com
Quinta Janeiro 24 20:59:31 BRST 2008
Em 24/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> escreveu:
> Mas antes abria... :-)
>
> Obrigado pela força...
>
> Welkson
>
>
> ----- Original Message -----
> From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Thursday, January 24, 2008 5:54 PM
> Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
>
>
> Em 24/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> escreveu:
> > Pessoal,
> >
> > Uma coisa boa que percebi que a Google fez... antes quando eu chamava
> > https://www.orkut.com abria o site do orkut, agora abre o site da
> > Google...
> > ou seja, o cara tem que ir primeiro pela porta 80, só depois que passa
> > para
> > a 443... assim fica fácil bloquear... :-)
> >
> > Welkson Renny
> >
> >
> > ----- Original Message -----
> > From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Thursday, January 24, 2008 11:07 AM
> > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> >
> >
> > Em 24/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> > escreveu:
> > > Cristiano,
> > >
> > > Proxys tem aos montes pela internet... o dansguardian tem uma boa lista
> > > desses casos (geralmente são http, é fácil bloquear)... mesmo assim todo
> > > dia
> > > aparece novos... complicado.
> > >
> > > Pedi para alguns amigos testarem a regra que fiz no firewall, e
> > > adivinha?
> > > me
> > > ferrei novamente, devido a centralização de contas (gmail/orkut/) tudo
> > > passa
> > > por um único IP... mesmo eu bloqueando TODOS aqueles mostrados no dig
> > > www.orkut.com, os caras ainda conseguem acessar, vejam:
> > >
> > > dig www.google.com
> > > www.google.com. 601504 IN CNAME www.l.google.com.
> > > www.l.google.com. 200 IN A 209.85.193.103
> > > www.l.google.com. 200 IN A 209.85.193.99
> > > www.l.google.com. 200 IN A 209.85.193.147
> > > www.l.google.com. 200 IN A 209.85.193.104
> > >
> > > dig www.gmail.com
> > > www.gmail.com. 26211 IN CNAME mail.google.com.
> > > mail.google.com. 112557 IN CNAME googlemail.l.google.com.
> > > googlemail.l.google.com. 283 IN A 66.249.83.83
> > > googlemail.l.google.com. 283 IN A 66.249.83.19
> > >
> > > dig www.orkut.com
> > > www.orkut.com. 147 IN CNAME orkut.l.google.com.
> > > orkut.l.google.com. 147 IN A 209.85.193.85
> > > orkut.l.google.com. 147 IN A 209.85.193.86
> > >
> > > Blz, bloqueei os dois mostrados no www.orkut.com... pedi para eles
> > > acessarem, fiquei analisando no tcpdump:
> > >
> > > [root em netserver:~] # tcpdump -n -i rl0 src host 192.168.0.200 and not
> > > dst
> > > host 192.168.0.254
> > >
> > > Olha só o que acontece, primeiro o dns joga para os ips listados no dig
> > > www.orkut.com (193.85, 86)... não consegue... (vejo o bloqueio pelo
> > > pf)...
> > > depois de algumas tentativas o dns joga para o ip 209.85.193.99, e as
> > > vezes
> > > para o 209.85.193.104 (observe que esses ips são do dig
> > > www.google.com)...
> > > ou seja, quando eu bloqueio os dois nem o site da google abre mais...
> > > rsrsrs
> > > (imagina o gmail).
> > >
> > > Cristiano, na minha rede aqui também tenho alguns setores onde nego
> > > tudo,
> > > exceto alguns .gov, bancos, etc... blz.. mais a grande maioria usam
> > > muita
> > > coisa da internet, por isso prefiro o dansguardian...
> > >
> > > Vejam essa thread que entenderão meu dilema:
> > > http://www.fug.com.br/historico/html/freebsd/2007-02/msg00032.html
> > >
> > > Abraço,
> > >
> > > Welkson Renny
> > >
> > >
> > > ----- Original Message -----
> > > From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd em fug.com.br>
> > > Sent: Thursday, January 24, 2008 9:56 AM
> > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> > >
> > >
> > > Em 24/01/08, Cristiano Maynart Pereira<cpereira em unisc.br> escreveu:
> > > >
> > > >
> > > > > -----Original Message-----
> > > > > From: freebsd-bounces em fug.com.br
> > > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Welkson
> > > > > Renny de Medeiros
> > > > > Sent: quinta-feira, 24 de janeiro de 2008 10:04
> > > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> > > > >
> > > > > Alessandro,
> > > > >
> > > > >
> > > > > O problema eu já resolvi bloqueando os IPs mostrado pelo DIG... blz!
> > > > >
> > > > > Eu tenho o "orkut.com" no bannedsitelist do dansguardian...
> > > > > funciona bem...
> > > > > (quando acessam via http, http://www.orkut.com, https é outra
> > > > > conversa - porta 443).
> > > > >
> > > > > A confusão todinha foi o seguinte, no seu email você deixa
> > > > > entender que consegue filtrar HTTPS pelo squid/dans de forma
> > > > > transparente... e pelo que li e já vi aqui no fug isso não é
> > > > > possível... é só isso que quero entender...
> > > > >
> > > > > Abraço,
> > > > >
> > > > > Welkson
> > > > >
> > > >
> > > > No caso do orkut utilizando filtro por string e não por IP, lembre-se
> > > > de
> > > > outros endereços que apontam para ele como orkat.com, orcut.com e
> > > > aconselho a usar expressão regular, pois também pode ser acessado por
> > > > exemplo com images.orkut.com. Além disso, usar a categoria do
> > > > dansguardian
> > > > que bloqueia sites que fazem proxy via web, para evitar que os
> > > > espertinhos
> > > > acessem os sites filtrados através de outras páginas.
> > > >
> > > >
> > > > Cristiano Maynart Pereira
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > eu nao uso o dans, so squid mesmo, questao toda que a minha base de
> > > liberacao de acesso a internet das maquina e baseada no ip das
> > > maquinas criei algumas acls como liberado mais com retricao a sexo e
> > > outras coisas, outra acl que libera ip somente a gov e outra que
> > > libera uns ips de acesso livre, so que tenho outra acls de bloqueio
> > > onde contem dominios e palavras tipo sexo etc, nisso tudo vou
> > > encaixando os ips diacordo com que eu quero so isso.
> > >
> > >
> > > --
> > > Alessandro de Souza Rocha
> > > Administrador de Redes e Sistemas
> > > Freebsd-BR User #117
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> > eu li, agora o estranho que aki funciona o bloqueio a parte financeira
> > usa o gerenciador financeiro do banco de brasil sem problemas nenhum,.
> > vou da uma aprofundada depois posta na lista pra vc olhar.
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > Freebsd-BR User #117
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> e mais falei pra vc que bloqueavar antes ver isso.
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> Freebsd-BR User #117
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
de nada, minha estrutura de rede e complexa se nao colocaria o
squid.conf com as acls.
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
Mais detalhes sobre a lista de discussão freebsd