[FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
Alessandro de Souza Rocha
etherlinkii em gmail.com
Quinta Janeiro 24 18:54:29 BRST 2008
Em 24/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> escreveu:
> Pessoal,
>
> Uma coisa boa que percebi que a Google fez... antes quando eu chamava
> https://www.orkut.com abria o site do orkut, agora abre o site da Google...
> ou seja, o cara tem que ir primeiro pela porta 80, só depois que passa para
> a 443... assim fica fácil bloquear... :-)
>
> Welkson Renny
>
>
> ----- Original Message -----
> From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Thursday, January 24, 2008 11:07 AM
> Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
>
>
> Em 24/01/08, Welkson Renny de Medeiros<welkson em focusautomacao.com.br>
> escreveu:
> > Cristiano,
> >
> > Proxys tem aos montes pela internet... o dansguardian tem uma boa lista
> > desses casos (geralmente são http, é fácil bloquear)... mesmo assim todo
> > dia
> > aparece novos... complicado.
> >
> > Pedi para alguns amigos testarem a regra que fiz no firewall, e adivinha?
> > me
> > ferrei novamente, devido a centralização de contas (gmail/orkut/) tudo
> > passa
> > por um único IP... mesmo eu bloqueando TODOS aqueles mostrados no dig
> > www.orkut.com, os caras ainda conseguem acessar, vejam:
> >
> > dig www.google.com
> > www.google.com. 601504 IN CNAME www.l.google.com.
> > www.l.google.com. 200 IN A 209.85.193.103
> > www.l.google.com. 200 IN A 209.85.193.99
> > www.l.google.com. 200 IN A 209.85.193.147
> > www.l.google.com. 200 IN A 209.85.193.104
> >
> > dig www.gmail.com
> > www.gmail.com. 26211 IN CNAME mail.google.com.
> > mail.google.com. 112557 IN CNAME googlemail.l.google.com.
> > googlemail.l.google.com. 283 IN A 66.249.83.83
> > googlemail.l.google.com. 283 IN A 66.249.83.19
> >
> > dig www.orkut.com
> > www.orkut.com. 147 IN CNAME orkut.l.google.com.
> > orkut.l.google.com. 147 IN A 209.85.193.85
> > orkut.l.google.com. 147 IN A 209.85.193.86
> >
> > Blz, bloqueei os dois mostrados no www.orkut.com... pedi para eles
> > acessarem, fiquei analisando no tcpdump:
> >
> > [root em netserver:~] # tcpdump -n -i rl0 src host 192.168.0.200 and not dst
> > host 192.168.0.254
> >
> > Olha só o que acontece, primeiro o dns joga para os ips listados no dig
> > www.orkut.com (193.85, 86)... não consegue... (vejo o bloqueio pelo pf)...
> > depois de algumas tentativas o dns joga para o ip 209.85.193.99, e as
> > vezes
> > para o 209.85.193.104 (observe que esses ips são do dig www.google.com)...
> > ou seja, quando eu bloqueio os dois nem o site da google abre mais...
> > rsrsrs
> > (imagina o gmail).
> >
> > Cristiano, na minha rede aqui também tenho alguns setores onde nego tudo,
> > exceto alguns .gov, bancos, etc... blz.. mais a grande maioria usam muita
> > coisa da internet, por isso prefiro o dansguardian...
> >
> > Vejam essa thread que entenderão meu dilema:
> > http://www.fug.com.br/historico/html/freebsd/2007-02/msg00032.html
> >
> > Abraço,
> >
> > Welkson Renny
> >
> >
> > ----- Original Message -----
> > From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Thursday, January 24, 2008 9:56 AM
> > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> >
> >
> > Em 24/01/08, Cristiano Maynart Pereira<cpereira em unisc.br> escreveu:
> > >
> > >
> > > > -----Original Message-----
> > > > From: freebsd-bounces em fug.com.br
> > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Welkson
> > > > Renny de Medeiros
> > > > Sent: quinta-feira, 24 de janeiro de 2008 10:04
> > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL
> > > >
> > > > Alessandro,
> > > >
> > > >
> > > > O problema eu já resolvi bloqueando os IPs mostrado pelo DIG... blz!
> > > >
> > > > Eu tenho o "orkut.com" no bannedsitelist do dansguardian...
> > > > funciona bem...
> > > > (quando acessam via http, http://www.orkut.com, https é outra
> > > > conversa - porta 443).
> > > >
> > > > A confusão todinha foi o seguinte, no seu email você deixa
> > > > entender que consegue filtrar HTTPS pelo squid/dans de forma
> > > > transparente... e pelo que li e já vi aqui no fug isso não é
> > > > possível... é só isso que quero entender...
> > > >
> > > > Abraço,
> > > >
> > > > Welkson
> > > >
> > >
> > > No caso do orkut utilizando filtro por string e não por IP, lembre-se de
> > > outros endereços que apontam para ele como orkat.com, orcut.com e
> > > aconselho a usar expressão regular, pois também pode ser acessado por
> > > exemplo com images.orkut.com. Além disso, usar a categoria do
> > > dansguardian
> > > que bloqueia sites que fazem proxy via web, para evitar que os
> > > espertinhos
> > > acessem os sites filtrados através de outras páginas.
> > >
> > >
> > > Cristiano Maynart Pereira
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > eu nao uso o dans, so squid mesmo, questao toda que a minha base de
> > liberacao de acesso a internet das maquina e baseada no ip das
> > maquinas criei algumas acls como liberado mais com retricao a sexo e
> > outras coisas, outra acl que libera ip somente a gov e outra que
> > libera uns ips de acesso livre, so que tenho outra acls de bloqueio
> > onde contem dominios e palavras tipo sexo etc, nisso tudo vou
> > encaixando os ips diacordo com que eu quero so isso.
> >
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > Freebsd-BR User #117
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> eu li, agora o estranho que aki funciona o bloqueio a parte financeira
> usa o gerenciador financeiro do banco de brasil sem problemas nenhum,.
> vou da uma aprofundada depois posta na lista pra vc olhar.
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> Freebsd-BR User #117
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
e mais falei pra vc que bloqueavar antes ver isso.
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
Mais detalhes sobre a lista de discussão freebsd