[GTER] Filtro porta 443

Fabio L. Fidelis ffidelis at gmail.com
Mon Mar 12 08:38:17 -03 2007 

Amigo,

Recentemente tive esse problema pois tenho que permitir pelo firewall
o acesso a páginas com SSL pela porta 443, como bancos e portais do
governo. Contudo para não permitir o orkut ao invés de diretamente
bloquear pelo squid, o que não funcionou, pois o que era negado era
apenas tráfego da porta 80 com url que continha 'orkut', quando os
usuários utilizavam no navegador diretamente 'https://www.orkut.com',
passava numa boa.
Tive então que aplicar a regra no firewall para bloquear o endereço
orkut.com diretamente, contudo alguns usuários ainda continuavam
acessando e verifiquei com uma pesquisa de dns que o orkut responderia
por mais 2 endereços ips conforme abaixo:

[root at fidelis ~]# dig orkut.com

; <<>> DiG 9.2.4 <<>> orkut.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31696
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;orkut.com.                     IN      A

;; ANSWER SECTION:
orkut.com.              3600    IN      A       72.14.209.87
orkut.com.              3600    IN      A       72.14.209.85
orkut.com.              3600    IN      A       72.14.209.86

;; AUTHORITY SECTION:
orkut.com.              345600  IN      NS      ns1.google.com.
orkut.com.              345600  IN      NS      ns2.google.com.
orkut.com.              345600  IN      NS      ns3.google.com.
orkut.com.              345600  IN      NS      ns4.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         7163    IN      A       216.239.32.10
ns2.google.com.         7163    IN      A       216.239.34.10
ns3.google.com.         7163    IN      A       216.239.36.10
ns4.google.com.         7163    IN      A       216.239.38.10

Para tanto adicionei os três ips ao invés do nome orkut.com nas regras
de deny do firewall e o problema de acesso deixou de existir.
Para um simples caso do orkut não é tão oneroso cadastras três ips,
mas sei que caso existam outros sites de relacionamento ou chats que
utilizem SSL fica um pouco chato para administrar.
Mas segue ae a dica.

Abraços a todos,
Fidelis
On 3/9/07, Rafael Augusto <rafael at grupouds.com.br> wrote:
> Prezados,
>
>         Estou com problemas para bloquear o orkut em uma instituição educacional, temos um squid rodando de modo transparente filtrando as palavras squid, proxy , etc... No entanto o pessoal começou a utilizar o squid através da porta 443 https://images3.orkut.com, sendo assim bloqueamos o ip do orkut direto no iptables, contudo os alunos continuam acessando atraves de proxys que permitem conexão atraves da porta 443, não posso bloquear tal porta pois diversos serviços que devem necessariamente ser permitidos utilizam essa porta, alguma ideia do que poderia ser feito ? Alguem conhece como filtrar talves por palavras o tráfego na porta 443 ou então bloquear o orkut/msn de outra forma ? Grato.
>
> Att,
>                 Rafael Augusto
>
> _____________________________
>      UDS - Soluções Digitais
>   http://www.grupouds.com.br
>           (44) 3029-1333
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Fabio L. Fidelis
Petrobras S.A.
TI/TI-E&P/OIEP
Nextel/Fleet*ID - +55 (21) 7820 9388 / 8*10957
Celular - +55(21) 9155 2136
Trabalho - +55(21) 3224 8237
ffidelisØgmail·com
ffidelisØlinuxmail·org
fabiofidelisØgulbf·com·br

More information about the gter mailing list