[GTER] Redirecionamento DNS
Herlon Alcantara Matos
herlon at lcimt.com.br
Mon Aug 4 15:41:19 -03 2008
Se você quiser efetuar um forward para um outro(s) DNS recursivos aberto.
Crie um outro servidor DNS com configuração de forward para outro(s) DNS
recursivo aberto, em vez de efetuar NAT.
Entendo que o NAT é algo necessario, mas deve ser utilizado quando não
temos uma outra alternativa, o que, não é o caso. Se a utilização que se
deseja fazer, seja a citada por mim, acima.
Herlon Alcantara Matos
LCI
----- Original Message -----
From: <gter-request at eng.registro.br>
To: <gter at eng.registro.br>
Sent: Monday, August 04, 2008 1:49 PM
Subject: gter Digest, Vol 65, Issue 8
> Send gter mailing list submissions to
> gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
> https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
> gter-request at eng.registro.br
>
> You can reach the person managing the list at
> gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
>
> Today's Topics:
>
> 1. Re: Redirecionamento DNS (Henrique Fassi)
> 2. Re: Redirecionamento DNS (Marcus Alves Grando)
> 3. Re: [OFF] Skype (Leandro Pereira de Lima e Silva)
> 4. Re: Redirecionamento DNS (Leandro Pereira de Lima e Silva)
> 5. RES: Aceleracao de Links WAN (S?rgio Ferreira ( WGO ))
> 6. Re: [OFF] Skype (Leandro Pereira de Lima e Silva)
> 7. Re: [OFF] Skype (Denilson Rapelli)
> 8. RES: [OFF] Skype (Tiago Machado Costa)
> 9. Re: [OFF] Skype (Leonardo Rodrigues Magalh?es)
> 10. Re: Aceleracao de Links WAN (Fernando Willemann)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Mon, 04 Aug 2008 10:03:21 -0300
> From: Henrique Fassi <henrique at fassi.eti.br>
> Subject: Re: [GTER] Redirecionamento DNS
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID: <4896FE19.4050809 at fassi.eti.br>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Carlos,
>
> Tanto para restringir o acesso quanto para os redirecionamentos vc deve
> usar regras de firewall (iptables).
>
> Abs,
>
> Em 03/08/2008 20:28, Carlos Henrique escreveu:
>> Ol? Pessoal,
>>
>> Alguem poderia me dar uma dica ou indicar documenta??o.
>>
>> 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a
>> minha rede e/ou os ip que eu quero fa?am consultas.
>> 2? Os ip n?o autorizados a consultar, ao inves de negar acesso,
>> quero redirecionar para um IP especifico.
>>
>> uso Bind 9 em sua ultima vers?o.
>>
>> Carlos
>
> --
> Henrique Fassi
> henrique at fassi.eti.br
> www.fassi.eti.br
> (71) 9138-6337
>
>
>
> ------------------------------
>
> Message: 2
> Date: Mon, 04 Aug 2008 10:05:54 -0300
> From: Marcus Alves Grando <marcus at sbh.eng.br>
> Subject: Re: [GTER] Redirecionamento DNS
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID: <4896FEB2.6000503 at sbh.eng.br>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Carlos Henrique wrote:
>> Ol? Pessoal,
>>
>> Alguem poderia me dar uma dica ou indicar documenta??o.
>>
>> 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a
>> minha rede e/ou os ip que eu quero fa?am consultas.
>
> http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
>
>> 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, quero
>> redirecionar para um IP especifico.
>
> Que eu saiba n?o existe essa feature no protocolo.
>
> Abra?os
>
>>
>> uso Bind 9 em sua ultima vers?o.
>>
>> Carlos
>>
>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> Marcus Alves Grando
> marcus(at)sbh.eng.br | Personal
> mnag(at)FreeBSD.org | FreeBSD.org
>
>
> ------------------------------
>
> Message: 3
> Date: Mon, 4 Aug 2008 10:43:19 -0300
> From: "Leandro Pereira de Lima e Silva" <leandro at limaesilva.com.br>
> Subject: Re: [GTER] [OFF] Skype
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <761ea0990808040643j77bb384ck6858b7bc289ef1e5 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> At? onde eu sei, n?o d? pra barrar skype sem sacrificar a navega??o. Na
> pior
> das hip?teses ele passa via https.
>
> []s Leandro
>
> 2008/8/4 M?rcio Luciano Donada <mdonada at auroraalimentos.com.br>
>
>> Senhores,
>> Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ?
>> a solu??o que os senhores est?o utilizando para barrar o skype
>> utilizando sistemas linux / iptables (layer7). Ele chega at? a
>> reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a
>> conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas.
>>
>> Obrigado,
>> --
>> M?rcio Luciano Donada <mdonada at auroraalimentos dot com dot br>
>> Aurora Alimentos - Cooperativa Central Oeste Catarinense
>> Departamento de T.I.
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Leandro Pereira de Lima e Silva
>
>
> ------------------------------
>
> Message: 4
> Date: Mon, 4 Aug 2008 10:45:20 -0300
> From: "Leandro Pereira de Lima e Silva" <leandro at limaesilva.com.br>
> Subject: Re: [GTER] Redirecionamento DNS
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <761ea0990808040645t2d070563t97d4a90582598cf2 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> O segundo eu usaria DNAT do netfilter pra fazer.
>
> $ iptables -j DNAT -h
>
> []s Leandro
>
> 2008/8/3 Carlos Henrique <carlos at nivelweb.com>
>
>> Ol? Pessoal,
>>
>> Alguem poderia me dar uma dica ou indicar documenta??o.
>>
>> 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a minha
>> rede e/ou os ip que eu quero fa?am consultas.
>> 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, quero
>> redirecionar para um IP especifico.
>>
>> uso Bind 9 em sua ultima vers?o.
>>
>> Carlos
>>
>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Leandro Pereira de Lima e Silva
>
>
> ------------------------------
>
> Message: 5
> Date: Mon, 4 Aug 2008 12:41:17 -0300
> From: S?rgio Ferreira ( WGO ) <sergio at wgo.com.br>
> Subject: [GTER] RES: Aceleracao de Links WAN
> To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
> <gter at eng.registro.br>
> Message-ID: <00df01c8f648$890a4910$9b1edb30$@com.br>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Vamos come?ar a testar o Cisco WAAS aqui na Mitsubishi...quando
> terminarmos
> os testes coloco aqui na lista.
>
> []s
>
>
> S?rgio Ferreira
> MMC Automotores do Brasil Ltda
> Mitsubishi Motors
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Rubens Kuhl Jr.
> Enviada em: segunda-feira, 4 de agosto de 2008 11:06
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Aceleracao de Links WAN
>
> 2008/8/4 Alexandre Augusto <alexandre.augusto at yamaha-motor.com.br>:
>> OI Giuliano,
>>
>> Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e
>> outros.
>> Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil
> configura??o
>> em casos de necessidade de troca de prioridade e etc.
>
> Alexandre, imagino que lento se refira a sat?lite no caso do seu
> empregador, n?o ?
>
> Eu j? usei uma plataforma que n?o as listadas de acelera??o espec?fica
> para acesso Internet via sat?lite, e de fato faz toda a diferen?a...
> mas se o custo desses equipamentos para uso em links terrestres faz
> sentido ou n?o, ? algo para colocar numa planilha e avaliar. Eu tenho
> a sensa??o de que n?o ?, exceto em casos de inviabilidade t?cnica (ex:
> local s? tem xDSL de 300 kbps de Uplink e n?o h? outra op??o).
>
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> ------------------------------
>
> Message: 6
> Date: Mon, 4 Aug 2008 12:55:03 -0300
> From: "Leandro Pereira de Lima e Silva" <leandro at limaesilva.com.br>
> Subject: Re: [GTER] [OFF] Skype
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <761ea0990808040855k39fa82arb117fdf77711260c at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Seus usu?rios acessam sites seguros (https)?
>
> []s Leandro
>
> 2008/8/4 Mauricio Bonani <mbonani at gmail.com>
>
>> Eu costumo fazer todos os usu?rios sair obrigatoriamente pelo squid e
>> usar as seguintes regras:
>>
>> acl numeric url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
>> http_access deny CONNECT numeric
>>
>> Obviamente a express?o regular precisa ser melhorada para 'casar'
>> apenas com edere?os IP.
>>
>> Dessa forma consegui bloquear o skype na rede.
>>
>> 2008/8/4 M?rcio Luciano Donada <mdonada at auroraalimentos.com.br>:
>> > Senhores,
>> > Desculpe retomar esse assunto off na lista, mas gostaria de saber qual
>> > ?
>> > a solu??o que os senhores est?o utilizando para barrar o skype
>> > utilizando sistemas linux / iptables (layer7). Ele chega at? a
>> > reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a
>> > conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas.
>> >
>> > Obrigado,
>>
>> --
>> Mauricio Bonani
>> mailto:mbonani at gmail.com
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Leandro Pereira de Lima e Silva
>
>
> ------------------------------
>
> Message: 7
> Date: Mon, 4 Aug 2008 14:01:21 -0300
> From: "Denilson Rapelli" <drapelli at terra.com.br>
> Subject: Re: [GTER] [OFF] Skype
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID: <01af01c8f653$bab8f0a0$6401a8c0 at toshibauser>
> Content-Type: text/plain; format=flowed; charset="iso-8859-1";
> reply-type=original
>
> No skype tem uma opcao na configuracao dele que voce pode escolher por que
> por ele deve sair
> e ate mesmo que se a porta escolhida nao estiver disponivel que ele saia
> pela porta 80
>
> se for para bloquear que voce quer tera alguns problemas ...
>
> abracos
> Denilson
>
> ----- Original Message -----
> From: "M?rcio Luciano Donada" <mdonada at auroraalimentos.com.br>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Sent: Monday, August 04, 2008 1:50 PM
> Subject: Re: [GTER] [OFF] Skype
>
>
> Wagner Santos (xwindow) escreveu:
>> Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os
>> servi?os que os usu?rios de sua rede utilizam, como por exemplo http,
>> https,
>> ftp, smtp, pop3 etc...
>>
>
> Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443,
> ai se eu tiver que colocar no firewall todos os destinos utilizados pela
> nossa rede na porta 443, ai sim to ferrado,
>
> --
> M?rcio Luciano Donada <mdonada at auroraalimentos dot com dot br>
> Aurora Alimentos - Cooperativa Central Oeste Catarinense
> Departamento de T.I.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
>
> ------------------------------
>
> Message: 8
> Date: Mon, 4 Aug 2008 13:57:31 -0300
> From: "Tiago Machado Costa" <tcosta at mdsystems.com.br>
> Subject: [GTER] RES: [OFF] Skype
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <220CAFD00976BD45BA31609CB04BE26D283195 at mdssbs01.mdsystems.local>
> Content-Type: text/plain; charset="iso-8859-1"
>
> O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7.
>
> Nunca testei, mas me disseram que funciona.
> O Skype sai por varias portas diferentes. ? praticamente uma 'praga'
>
>
> []s
> Tiago Machado
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de M?rcio Luciano Donada
> Enviada em: segunda-feira, 4 de agosto de 2008 13:50
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] [OFF] Skype
>
> Wagner Santos (xwindow) escreveu:
>> Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os
>> servi?os que os usu?rios de sua rede utilizam, como por exemplo http,
>> https,
>> ftp, smtp, pop3 etc...
>>
>
> Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443,
> ai se eu tiver que colocar no firewall todos os destinos utilizados pela
> nossa rede na porta 443, ai sim to ferrado,
>
> --
> M?rcio Luciano Donada <mdonada at auroraalimentos dot com dot br>
> Aurora Alimentos - Cooperativa Central Oeste Catarinense
> Departamento de T.I.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> ------------------------------
>
> Message: 9
> Date: Mon, 04 Aug 2008 13:58:51 -0300
> From: Leonardo Rodrigues Magalh?es <leolistas at solutti.com.br>
> Subject: Re: [GTER] [OFF] Skype
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID: <4897354B.8070106 at solutti.com.br>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
>
>
> M?rcio Luciano Donada escreveu:
>>
>> Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443,
>> ai se eu tiver que colocar no firewall todos os destinos utilizados pela
>> nossa rede na porta 443, ai sim to ferrado,
>>
>>
>
> bloqueie tcp/443 no firewall e exiga que todos os navegadores da
> rede configurem o squid l? no proxy. Assim voc? ter? acesso https
> normal, atrav?s do squid, e conseguir? restringir o skype.
>
> enquanto seu firewall permitir NAT de tcp/443, voc? n?o conseguir?
> controlar o skype. Tendo NAT da porta, n?o adianta nada colocar as
> regras j? citadas no squid.conf, j? que o skype vai tentar conectar
> primeiro direto e vai conseguir, n?o tentando nunca atrav?s do squid.
>
> --
>
>
> Atenciosamente / Sincerily,
> Leonardo Rodrigues
> Solutti Tecnologia
> http://www.solutti.com.br
>
> Minha armadilha de SPAM, N?O mandem email
> gertrudes at solutti.com.br
> My SPAMTRAP, do not email it
>
>
>
>
>
>
> ------------------------------
>
> Message: 10
> Date: Mon, 4 Aug 2008 14:39:57 -0300
> From: "Fernando Willemann" <nandowill at gmail.com>
> Subject: Re: [GTER] Aceleracao de Links WAN
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <31120fa90808041039g6eb80593l43e4e0f0e78f4134 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Boa tarde!
>
> Quando falas em acelera??o Wan, precisas necessariamente de
> compress?o? Trabalho com um equipamento de QoS com Deep Packet
> Inspection (DPI) e controle aplica??o/tr?fego atrav?s de assinaturas
> de aplicativos, que permite uma ?tima visualiza??o dos protocolos que
> est?o trafegando na rede. Percebo que ?s vezes um bom conhecimento do
> tr?fego + boas pol?ticas de prioriza??o podem otimizar muito a rede.
>
> Um abra?o,
>
> Fernando Willemann
>
> 2008/8/4 Rubens Kuhl Jr. <rubensk at gmail.com>:
>> 2008/8/4 Alexandre Augusto <alexandre.augusto at yamaha-motor.com.br>:
>>> OI Giuliano,
>>>
>>> Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e
>>> outros.
>>> Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil
>>> configura??o
>>> em casos de necessidade de troca de prioridade e etc.
>>
>> Alexandre, imagino que lento se refira a sat?lite no caso do seu
>> empregador, n?o ?
>>
>> Eu j? usei uma plataforma que n?o as listadas de acelera??o espec?fica
>> para acesso Internet via sat?lite, e de fato faz toda a diferen?a...
>> mas se o custo desses equipamentos para uso em links terrestres faz
>> sentido ou n?o, ? algo para colocar numa planilha e avaliar. Eu tenho
>> a sensa??o de que n?o ?, exceto em casos de inviabilidade t?cnica (ex:
>> local s? tem xDSL de 300 kbps de Uplink e n?o h? outra op??o).
>>
>>
>>
>> Rubens
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> ------------------------------
>
> --
> gter digest list https://eng.registro.br/mailman/listinfo/gter
>
> End of gter Digest, Vol 65, Issue 8
> ***********************************
More information about the gter
mailing list