[GTER] Ajude-me bloqueio .mil!

[Durval Menezes]

Viviane, Danton:

On Thu, Dec 26, 2002 at 10:30:27PM -0200, Danton Nunes wrote:
> On Thu, 26 Dec 2002, Viviane Vasconcellos de Menezes wrote:
> 
> > Caros,
> > 
> > Sou oceanográfa e não entendendo muito de rede! Espero que vcs possam me
> > dar uma LUZ.
> > Vasculhando pela enesima vez a internet finalmente encontrei vcs e vi
> > que há vários emails que estão discutindo o MEU GRANDE
> > problema/dificuldade. Achei até que estava ficando louca...
> 
> o problema é real. o acesso aos servidores de nomes de .mil e de tradução
> reversa de redes militares americanas está bloqueado para o bloco 200.128/9,
> onde se encontra a rede comercial brasileira. não tenho a mais porca idéia
> (quer dizer, tenho, mas não é justificável) porque existe esse bloqueio.

E' como o Fred falou outro dia: ninguem e' obrigado a aceitar trafego
vindo de ninguem. Porem acho o bloqueio absurdo e concordo com o AlGold
quando ele propoem envolver o Itamaraty nisso. 

Porem isso nao e' solucao (pelo menos a curto prazo) para a Viviane
(vide abaixo).

> a consequência disso é que não é possível resolvere nomes xxx.mil a partir de
> clientes na redde comercial brasileira. curiosamentte os  sreviços são
> acessíveis, se voce souber os endereços IP dos servidores. é o que faço na
> configuração do meu ntpd que usa o servidor tock.usno.navy.mil.

Tenho visto bloqueio de DNS *e* bloqueio de IP tambem. Depende do
destino dentro do .mil; Vide abaixo.

> como ex-inpeano sei o quanto é importante obter dados que estão em
> algum.lugar.mil, e tenho algumas dicas para voce contornar o problema.
> 
> não  é porque voce usa a rede da directnet que voce  tem que usar os
> servidores de nomes e de correio deles. converse com a administração da rede
> do INPE e verifique se há servidores de nomes recursivos abertos para fora
> dentro do bloco 150.163/16 (que não está bloqueado). configure sua máquina
> para usar esse servidor e não o que o teu prrovedor de acesso fornecer.

Isso nao resolve o problema dos destinos que estao simplesmente
"blackholing" o 200.128/9... os servidores de DNS deles sao
simplesmente mais um... Fiz um teste e o destino que a Viviane
mencionou (www7320.nrlssc.navy.mil-128.160.2.141) e' um deles:
alguns "probes" mostraram claramente que meus pacotes nao chegam
nem PERTO do tal servidor www, sao filtrados nos gateways do MilNET
com a BBNPlanet e com a ALTER.Net (o que demonstra que o problema
nao e' so' com a AT&T, conforme a Viviane suspeitava).

> a mesma coisa vale para servidores de correio eletrônico, tanto para
> transmitir (smtp) quanto para receber (pop/imap). use preferencialmente
> conexões cifradas para isso. aí voce poderá usar de casa endereços tipo
> fulano at xxx.inpe.br. se tua divisão no INPE tiver um serviço de Webmail,
> use-o.

Webmail ela ja' esta' usando o do Yahoo...

> uma allternativa muito interessante é voce criar uma rede virtual privativa
> que coloca seu micro virtualmente dentro da rede do INPE, com endereço no
> bloco 150.163/16, mas de novo voce precisará da ajuda da administração da rede
> do INPE.

Essa seria uma boa opcao; com isso a Viviane estaria "dentro" da rede do INPE,
seja la' da onde ela estivesse acessando...

> experimentte também acessar pelo endereço IP, assim: http://128.160.2.141/ se
> ele não for um serviddor de sites virtuais baseados em nome, funcionará.

Vide meu comentario acima. Acho que NAO vai funcionar.

> > Já Conversei varias vezes com os pesquisadores da US Navy/NRLSSC que
> > conheço (inclusive com o responsável pelo site) e eles me disseram que
> > eles não fazem nenhum bloqueio aos brasileiros. Mas para conversar com
> > eles, tive que criar um email no "yahoo.com". Desde então, passei a
> > tentar descobrir o que estava acontecendo pois dependo de dados de
> > satélite que eles fornecessem publicamente para meu trabalho.
> 
> de fato o NRLSSC não faz esse bloqueio, quem faz é o mil-nic. Fred, se receber
> esta, por favor, poste na lista em que pé anda este assunto.

Acho que tambem nao e' (so') o mil-nic. Na verdade, a melhor explicacao
que encontro para os resultados que vi nas minhas probes e' que os 
filtros estao sendo feitos em ALGUNS dos  roteadores "gateway" que ligam
a MILNet com a Internet...

> > Perguntei ao pessoal da directnet (que é meu provedor) e eles
> > desconhecem qualquer problema e não estão interessado em discutir isto.
> 
> directnet? esquece...
> 
> > Tentei com o pessoal do UOL (outro provedor que eu tenho) e
> 
> UOL? esquece... saiu fora do esquemão de perguntas pré concebidas que o
> helpdesk sabe responder, não dá pé.

Essa infelizmente e' a tendencia de TODOS os provedores comerciais...
colocam uma barreira de "drones" no helpdesk (normalmente terceirizado),
que so' sabem ler um fluxograma, e que tem ordens explicitas para NUNCA
escalar NENHUM problema. O unico provedor com quem voce ainda consegue
ter uma conversa relativamente inteligente com o helpdesk ainda e' a
EMBRATEL...

> > estranhamente eles desconhecessem a existencia da marinha americana e me
> > disseram que o endereço provavelmente esta incorreto (ora www.navy.mil
> > ?).

Caramba... definitivamente "Ignorance is bliss"... :-(

> > Tentei com o pessoal da Uninet (outro provedor que tenho) e lá eles 
> > conseguem acessar mas da minha casa é realmente impossível. Disseram que
> > vão investigar mas até agora não tive retorno. Algumas pessoas me
> > disseram que isto acontece pq não tenho IP fixo, mas não acredito nisto
> > pq antigamente eu entrava sem problemas via dial-up.
> 
> besteira, não tem nada a ver com IP fixo ou variável.

Danton tem toda a razao.

> me ocorreu uma outra
> solução, que é usar um proxy fora do bloco maldito 200.128/9, acho que existem
> alguns proxies abertos  pelo mundo, não?

E' so' examinar com cuidado os headers dos SPAMs :-) Alguns ficam
abertos durante MESES... E, se podem ser usados para SPAM, porque
nao para uma boa causa como a da Viviane? :-) 

Segue ai' um proxy HTTP "escancarado" que tem funcionado bem
para os SPAMmers: 203.121.0.11 porta 80 (isso mesmo, porta 80).

Obviamente esta informacao e' so' para fins educacionais, nao deve
ser utilizada na pratica, a Direcao nao se responsabiliza, melhor
consumir em 90 dias, etc :-)

> > A princípio pensei estaria relacionado a um bloqueio ameriacano a
> > quaquer domínio ".mil". Mas, eu consigo acessar as páginas do minstério
> > da defesa americano (www.defenselink.mil) e a da força área americana
> > (www.af.mil). Então tracei as rotas (com o VisualRoute) e minha surpresa
> > foi que vi que quando a rota passa pela AT&T americana há o bloqueio
> > (caso da navy e da army) mas quando não passa (caso da defenselink e da
> > af) (que passam pela UUNET) este bloqueio não existe! Conclui, não sei
> > se erroneamente, que o bloqueio é realizado na/pela AT&T. Escrevi para
> > eles, mas eles não me respoderam ainda !! No caso da globalcrossing tive
> > uma resposta  imediata (pena que o problema estava no backbone da AT&T)
> 
> estou fazendo testes de uma máquina na embratel, que não passa pela at&t e
> também não resolvo www.af.mil. além disso me parece que o bloqueio não se
> limita a DNS (atenção, Fred!) porque consegui me conectar ao servidor que
> voce indicou a partir de uma máquina na USP, mas não de uma na rede do
> iG(norante) nem de outra na rede da embratel. não rodei o nmap para conferir
> mas parece que está bloqueado. nem ping passa.

Vide meus comentarios acima. Estou razoavelmente convencido que os
filtros estao em algumas das gateways da MILNet, portanto se vai
ser bloqueado ou nao depende da origem da conexao, do destino, e
da roleta russa do BGP....

> A coisa está mais feia do que parecia. É necessário ação urgente para por os
> pingos nos is e remover esse bloqueio idiota.

pings nos is? :-)

> O Iraque não é aqui.

Alguem tem que explicar isso para eles... normalmente a nocao de
geografia deles e', humrmrm, meio limitada, especialmente neste ultimo
mandato presidencial... :-)

Um Grande Abraco,
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)