[MASOCH-L] RES: Bloqueio a determinados sites

[Julio Arruda]

Renato Frederick wrote:
>> Sugiro primeiro definir qual a necessidade de negocio, antes de fechar
>> em uma solucao tecnica.."Qual o problema que voce quer resolver"..
>>
>> Note que ele mencionou bloquear o site imediatamente, isto quer dizer
>> que alguem que esteja ja conectado, poderia continuar conectado ? E os
>> caches de DNS dos clientes ? e por ai vai. Se exite alguma repercursao
>> legal por exempo, seria interessante entender "o que" ele quer fazer
>> antes de mais nada.
>> Existem  ISPs que conheco que fazem isto para bloqueio por exemplo  de
>> phishing, ja que, as vezes, o  URL do phishing e'  baseado em IP
>> (nojento nao ? com tanto fast flux por ai, e vem algo assim arcaico :-
>> )..
>>     
>
> Julio, exatamente, a necessidade é fazer algo parecido com o "bloqueio ao
> youtube" que aconteceu a algum tempo no Brasil por decisão judicial. O
> destino a ser bloqueado se enquadra nesta linha de ilegalidade.
>   

Se voce pode bloquear os IPs 'completamente',  injetando um blackhole 
via BGP seria uma maneira escalavel de 'dropar' trafego para estes IPs.
Se voce nao pode bloquear os IPs para 'todo o trafego' mas pode/tem que 
bloquear trafego para porta 80 nestes IPs (dependendo da escala de 
numero de IPs)
1- Se voce tem Juniper, tecnicamente voce poderia usar Flowspec para 
'anunciar' estes filtros  (procure por uma apresentacao no GTER, onde o 
pessoal da RNP da uma palhinha sobre flowspec
2- Poderia criar ACLs 'na mao'

Voce poderia usar a solucao de DNS para isto, se nao tiver que ser '100%'
Outras opcoes que vejo seriam com DPI, seja l7 em um iptables (nunca 
usei), ou algo do genero. Se for fazer l7, voce pode fazer uma 
combinacao, mandar somente o trafego de destino a porta 80 (via PBR por 
exempl) para uma 'caixa' que va fazer o fwd ou nao 'adiante'.