[FUG-BR] duvida allow / deny ipfw

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Terça Dezembro 22 12:19:57 BRST 2009 

Rudinei Dias escreveu:
> Olá
> Necessito de uma ajuda com ipfw.
> Não estou conseguindo que máquinas em específico sejam liberadas do
> bloqueio.
>
> ## ################
> ## Limita ORKUT
> ## ################
>
> ORKUT_IPS="{ 74.125.113.0/24{85,86} or
> 64.233.163.0/24{85,86,87,88,89,90,91,92,93,94} or
> 64.233.171.0/24{85,86,87,88,89,90,91,
> 92,93,94,85,86} or 66.249.81.0/24{85,86,87,88,89,90,91,92,93,94,85,86,87} or
> 64.233.179.0/24{85,86,87,88,89,90,91,92,93,94,85,
> 86} or 72.14.247.0/24{85,86,87,88,89,90,91,92,93,94,91} or
> 72.14.209.0/24{85,86,87,94,85,86,87,88,89,90,91,92,93,94} or 216.23
> 9.51.0/24{85,86,125,85,86,87,88,89,90,91,92,93,94} or
> 216.239.37.0/24{85,86,125,85,86,87,88,89,90,91,92,93,94} or 209.85.141.0
> /24{85,94,85,86,87,88,89,90,91,92,93,94} }"
>
> ipfw add allow all from 10.1.1.36/32 to ${ORKUT_IPS}
> ipfw add allow all from 10.1.1.97/32 to ${ORKUT_IPS}
> ipfw add allow all from 10.1.1.96/32 to ${ORKUT_IPS}
> ipfw add allow all from 10.1.1.95/32 to ${ORKUT_IPS}
> ipfw add allow all from 10.1.1.93/32 to ${ORKUT_IPS}
> ipfw add allow all from 10.1.1.92/32 to ${ORKUT_IPS}
> ipfw add allow all from 10.1.1.99/32 to ${ORKUT_IPS}
> ipfw add allow all from 30.1.1.232/32 to ${ORKUT_IPS}
>
> # as regras de allow acima não liberam o acesso e a de deny abaixo bloqueia
> tudo.
>
> # bloqueio
> ipfw add deny all from any to ${ORKUT_IPS}
>
> # eu acreditava que quando um allow é identificado as outras regras são
> ignoradas.
> O que há de errado?
>
> Obrigado
>   

Rudinei, bom dia!

No caso específico do Orkut recomendo que você efetue o bloqueio via 
proxy (a autenticação do Google é HTTPS, mas depois você será 
redirecionado para um HTTP, que pode ser bloqueado até mesmo via proxy 
transparente).

A outra sugestão é bloquear via DNS...

Esses bloqueios via IP não funcionam.. por exemplo, a algum tempo fiz 
algo parecido com esse seu bloqueio, e misteriosamente o site 
www.google.com deixou de abrir... você pode ter problemas com vários dos 
serviços (GTalk, etc).

Faz via proxy que é super tranquilo.

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member

Mais detalhes sobre a lista de discussão freebsd