Cristiano, Proxys tem aos montes pela internet... o dansguardian tem uma boa lista desses casos (geralmente são http, é fácil bloquear)... mesmo assim todo dia aparece novos... complicado.
Pedi para alguns amigos testarem a regra que fiz no firewall, e adivinha? me ferrei novamente, devido a centralização de contas (gmail/orkut/) tudo passa por um único IP... mesmo eu bloqueando TODOS aqueles mostrados no dig www.orkut.com, os caras ainda conseguem acessar, vejam: dig www.google.com www.google.com. 601504 IN CNAME www.l.google.com. www.l.google.com. 200 IN A 209.85.193.103 www.l.google.com. 200 IN A 209.85.193.99 www.l.google.com. 200 IN A 209.85.193.147 www.l.google.com. 200 IN A 209.85.193.104 dig www.gmail.com www.gmail.com. 26211 IN CNAME mail.google.com. mail.google.com. 112557 IN CNAME googlemail.l.google.com. googlemail.l.google.com. 283 IN A 66.249.83.83 googlemail.l.google.com. 283 IN A 66.249.83.19 dig www.orkut.com www.orkut.com. 147 IN CNAME orkut.l.google.com. orkut.l.google.com. 147 IN A 209.85.193.85 orkut.l.google.com. 147 IN A 209.85.193.86 Blz, bloqueei os dois mostrados no www.orkut.com... pedi para eles acessarem, fiquei analisando no tcpdump: [EMAIL PROTECTED]:~] # tcpdump -n -i rl0 src host 192.168.0.200 and not dst host 192.168.0.254 Olha só o que acontece, primeiro o dns joga para os ips listados no dig www.orkut.com (193.85, 86)... não consegue... (vejo o bloqueio pelo pf)... depois de algumas tentativas o dns joga para o ip 209.85.193.99, e as vezes para o 209.85.193.104 (observe que esses ips são do dig www.google.com)... ou seja, quando eu bloqueio os dois nem o site da google abre mais... rsrsrs (imagina o gmail). Cristiano, na minha rede aqui também tenho alguns setores onde nego tudo, exceto alguns .gov, bancos, etc... blz.. mais a grande maioria usam muita coisa da internet, por isso prefiro o dansguardian... Vejam essa thread que entenderão meu dilema: http://www.fug.com.br/historico/html/freebsd/2007-02/msg00032.html Abraço, Welkson Renny ----- Original Message ----- From: "Alessandro de Souza Rocha" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd@fug.com.br> Sent: Thursday, January 24, 2008 9:56 AM Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL Em 24/01/08, Cristiano Maynart Pereira<[EMAIL PROTECTED]> escreveu: > > > > -----Original Message----- > > From: [EMAIL PROTECTED] > > [mailto:[EMAIL PROTECTED] On Behalf Of Welkson > > Renny de Medeiros > > Sent: quinta-feira, 24 de janeiro de 2008 10:04 > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL > > > > Alessandro, > > > > > > O problema eu já resolvi bloqueando os IPs mostrado pelo DIG... blz! > > > > Eu tenho o "orkut.com" no bannedsitelist do dansguardian... > > funciona bem... > > (quando acessam via http, http://www.orkut.com, https é outra > > conversa - porta 443). > > > > A confusão todinha foi o seguinte, no seu email você deixa > > entender que consegue filtrar HTTPS pelo squid/dans de forma > > transparente... e pelo que li e já vi aqui no fug isso não é > > possível... é só isso que quero entender... > > > > Abraço, > > > > Welkson > > > > No caso do orkut utilizando filtro por string e não por IP, lembre-se de > outros endereços que apontam para ele como orkat.com, orcut.com e > aconselho a usar expressão regular, pois também pode ser acessado por > exemplo com images.orkut.com. Além disso, usar a categoria do dansguardian > que bloqueia sites que fazem proxy via web, para evitar que os espertinhos > acessem os sites filtrados através de outras páginas. > > > Cristiano Maynart Pereira > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > eu nao uso o dans, so squid mesmo, questao toda que a minha base de liberacao de acesso a internet das maquina e baseada no ip das maquinas criei algumas acls como liberado mais com retricao a sexo e outras coisas, outra acl que libera ip somente a gov e outra que libera uns ips de acesso livre, so que tenho outra acls de bloqueio onde contem dominios e palavras tipo sexo etc, nisso tudo vou encaixando os ips diacordo com que eu quero so isso. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd