[FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Quinta Janeiro 24 11:33:23 BRST 2008 

Cristiano,

Proxys tem aos montes pela internet... o dansguardian tem uma boa lista 
desses casos (geralmente são http, é fácil bloquear)... mesmo assim todo dia 
aparece novos... complicado.

Pedi para alguns amigos testarem a regra que fiz no firewall, e adivinha? me 
ferrei novamente, devido a centralização de contas (gmail/orkut/) tudo passa 
por um único IP... mesmo eu bloqueando TODOS aqueles mostrados no dig 
www.orkut.com, os caras ainda conseguem acessar, vejam:

dig www.google.com
www.google.com.         601504  IN      CNAME   www.l.google.com.
www.l.google.com.       200     IN      A       209.85.193.103
www.l.google.com.       200     IN      A       209.85.193.99
www.l.google.com.       200     IN      A       209.85.193.147
www.l.google.com.       200     IN      A       209.85.193.104

dig  www.gmail.com
www.gmail.com.          26211   IN      CNAME   mail.google.com.
mail.google.com.        112557  IN      CNAME   googlemail.l.google.com.
googlemail.l.google.com. 283    IN      A       66.249.83.83
googlemail.l.google.com. 283    IN      A       66.249.83.19

dig www.orkut.com
www.orkut.com.          147     IN      CNAME   orkut.l.google.com.
orkut.l.google.com.     147     IN      A       209.85.193.85
orkut.l.google.com.     147     IN      A       209.85.193.86

Blz, bloqueei os dois mostrados no www.orkut.com... pedi para eles 
acessarem, fiquei analisando no tcpdump:

[root em netserver:~] # tcpdump -n -i rl0 src host 192.168.0.200 and not dst 
host 192.168.0.254

Olha só o que acontece, primeiro o dns joga para os ips listados no dig 
www.orkut.com (193.85, 86)... não consegue... (vejo o bloqueio pelo pf)... 
depois de algumas tentativas o dns joga para o ip 209.85.193.99, e as vezes 
para o 209.85.193.104 (observe que esses ips são do dig www.google.com)... 
ou seja, quando eu bloqueio os dois nem o site da google abre mais... rsrsrs 
(imagina o gmail).

Cristiano, na minha rede aqui também tenho alguns setores onde nego tudo, 
exceto alguns .gov, bancos, etc... blz.. mais a grande maioria usam muita 
coisa da internet, por isso prefiro o dansguardian...

Vejam essa thread que entenderão meu dilema:
http://www.fug.com.br/historico/html/freebsd/2007-02/msg00032.html

Abraço,

Welkson Renny


----- Original Message ----- 
From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Thursday, January 24, 2008 9:56 AM
Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL


Em 24/01/08, Cristiano Maynart Pereira<cpereira em unisc.br> escreveu:
>
>
> > -----Original Message-----
> > From: freebsd-bounces em fug.com.br
> > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Welkson
> > Renny de Medeiros
> > Sent: quinta-feira, 24 de janeiro de 2008 10:04
> > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> >
> > Alessandro,
> >
> >
> > O problema eu já resolvi bloqueando os IPs mostrado pelo DIG... blz!
> >
> > Eu tenho o "orkut.com" no bannedsitelist do dansguardian...
> > funciona bem...
> > (quando acessam via http, http://www.orkut.com, https é outra
> > conversa - porta 443).
> >
> > A confusão todinha foi o seguinte, no seu email você deixa
> > entender que consegue filtrar HTTPS pelo squid/dans de forma
> > transparente... e pelo que li e já vi aqui no fug isso não é
> > possível... é só isso que quero entender...
> >
> > Abraço,
> >
> > Welkson
> >
>
> No caso do orkut utilizando filtro por string e não por IP, lembre-se de 
> outros endereços que apontam para ele como orkat.com, orcut.com e 
> aconselho a usar expressão regular, pois também pode ser acessado por 
> exemplo com images.orkut.com. Além disso, usar a categoria do dansguardian 
> que bloqueia sites que fazem proxy via web, para evitar que os espertinhos 
> acessem os sites filtrados através de outras páginas.
>
>
> Cristiano Maynart Pereira
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
eu nao uso o dans, so squid mesmo, questao toda que a minha base de
liberacao de acesso a internet das maquina e baseada no ip das
maquinas criei algumas acls como liberado mais com retricao a sexo e
outras coisas, outra acl que libera ip somente a gov e outra que
libera uns ips de acesso livre, so que tenho outra acls de bloqueio
onde contem dominios e palavras tipo sexo etc, nisso tudo vou
encaixando os ips diacordo com que eu quero so isso.


-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd