Pessoal, Uma coisa boa que percebi que a Google fez... antes quando eu chamava https://www.orkut.com abria o site do orkut, agora abre o site da Google... ou seja, o cara tem que ir primeiro pela porta 80, só depois que passa para a 443... assim fica fácil bloquear... :-)
Welkson Renny ----- Original Message ----- From: "Alessandro de Souza Rocha" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd@fug.com.br> Sent: Thursday, January 24, 2008 11:07 AM Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL Em 24/01/08, Welkson Renny de Medeiros<[EMAIL PROTECTED]> escreveu: > Cristiano, > > Proxys tem aos montes pela internet... o dansguardian tem uma boa lista > desses casos (geralmente são http, é fácil bloquear)... mesmo assim todo > dia > aparece novos... complicado. > > Pedi para alguns amigos testarem a regra que fiz no firewall, e adivinha? > me > ferrei novamente, devido a centralização de contas (gmail/orkut/) tudo > passa > por um único IP... mesmo eu bloqueando TODOS aqueles mostrados no dig > www.orkut.com, os caras ainda conseguem acessar, vejam: > > dig www.google.com > www.google.com. 601504 IN CNAME www.l.google.com. > www.l.google.com. 200 IN A 209.85.193.103 > www.l.google.com. 200 IN A 209.85.193.99 > www.l.google.com. 200 IN A 209.85.193.147 > www.l.google.com. 200 IN A 209.85.193.104 > > dig www.gmail.com > www.gmail.com. 26211 IN CNAME mail.google.com. > mail.google.com. 112557 IN CNAME googlemail.l.google.com. > googlemail.l.google.com. 283 IN A 66.249.83.83 > googlemail.l.google.com. 283 IN A 66.249.83.19 > > dig www.orkut.com > www.orkut.com. 147 IN CNAME orkut.l.google.com. > orkut.l.google.com. 147 IN A 209.85.193.85 > orkut.l.google.com. 147 IN A 209.85.193.86 > > Blz, bloqueei os dois mostrados no www.orkut.com... pedi para eles > acessarem, fiquei analisando no tcpdump: > > [EMAIL PROTECTED]:~] # tcpdump -n -i rl0 src host 192.168.0.200 and not dst > host 192.168.0.254 > > Olha só o que acontece, primeiro o dns joga para os ips listados no dig > www.orkut.com (193.85, 86)... não consegue... (vejo o bloqueio pelo pf)... > depois de algumas tentativas o dns joga para o ip 209.85.193.99, e as > vezes > para o 209.85.193.104 (observe que esses ips são do dig www.google.com)... > ou seja, quando eu bloqueio os dois nem o site da google abre mais... > rsrsrs > (imagina o gmail). > > Cristiano, na minha rede aqui também tenho alguns setores onde nego tudo, > exceto alguns .gov, bancos, etc... blz.. mais a grande maioria usam muita > coisa da internet, por isso prefiro o dansguardian... > > Vejam essa thread que entenderão meu dilema: > http://www.fug.com.br/historico/html/freebsd/2007-02/msg00032.html > > Abraço, > > Welkson Renny > > > ----- Original Message ----- > From: "Alessandro de Souza Rocha" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <freebsd@fug.com.br> > Sent: Thursday, January 24, 2008 9:56 AM > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL > > > Em 24/01/08, Cristiano Maynart Pereira<[EMAIL PROTECTED]> escreveu: > > > > > > > -----Original Message----- > > > From: [EMAIL PROTECTED] > > > [mailto:[EMAIL PROTECTED] On Behalf Of Welkson > > > Renny de Medeiros > > > Sent: quinta-feira, 24 de janeiro de 2008 10:04 > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > > Subject: Re: [FUG-BR] [OT] PF: bloquear ORKUT sem bloquear GMAIL > > > > > > Alessandro, > > > > > > > > > O problema eu já resolvi bloqueando os IPs mostrado pelo DIG... blz! > > > > > > Eu tenho o "orkut.com" no bannedsitelist do dansguardian... > > > funciona bem... > > > (quando acessam via http, http://www.orkut.com, https é outra > > > conversa - porta 443). > > > > > > A confusão todinha foi o seguinte, no seu email você deixa > > > entender que consegue filtrar HTTPS pelo squid/dans de forma > > > transparente... e pelo que li e já vi aqui no fug isso não é > > > possível... é só isso que quero entender... > > > > > > Abraço, > > > > > > Welkson > > > > > > > No caso do orkut utilizando filtro por string e não por IP, lembre-se de > > outros endereços que apontam para ele como orkat.com, orcut.com e > > aconselho a usar expressão regular, pois também pode ser acessado por > > exemplo com images.orkut.com. Além disso, usar a categoria do > > dansguardian > > que bloqueia sites que fazem proxy via web, para evitar que os > > espertinhos > > acessem os sites filtrados através de outras páginas. > > > > > > Cristiano Maynart Pereira > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > eu nao uso o dans, so squid mesmo, questao toda que a minha base de > liberacao de acesso a internet das maquina e baseada no ip das > maquinas criei algumas acls como liberado mais com retricao a sexo e > outras coisas, outra acl que libera ip somente a gov e outra que > libera uns ips de acesso livre, so que tenho outra acls de bloqueio > onde contem dominios e palavras tipo sexo etc, nisso tudo vou > encaixando os ips diacordo com que eu quero so isso. > > > -- > Alessandro de Souza Rocha > Administrador de Redes e Sistemas > Freebsd-BR User #117 > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > eu li, agora o estranho que aki funciona o bloqueio a parte financeira usa o gerenciador financeiro do banco de brasil sem problemas nenhum,. vou da uma aprofundada depois posta na lista pra vc olhar. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
