Em Qui, 2007-02-08 às 15:39 -0200, Maxwillian Miorim escreveu: > On 2/8/07, Maxwillian Miorim <[EMAIL PROTECTED]> wrote: > > On 2/8/07, Leandro Moreira <[EMAIL PROTECTED]> wrote: > > > iptables -v -I FORWARD -d www.orkut.com -p tcp --dport 443 -j ACCEPT > > Faz um "dig @servidor_dns www.orkut.com" e tu vai ver que são pelo > > menos quatro as respostas, se o teu bloquio baseia-se somente nisso > > ele pode não funcionar pois um usuário que descobre o IP que não está > > bloqueado navega sem problemas. > > > > Saída do dig aqui (só com os answers): > > ;; ANSWER SECTION: > > www.orkut.com. 291 IN CNAME orkut-bf.l.google.com. > > orkut-bf.l.google.com. 1683 IN A 72.14.209.85 > > orkut-bf.l.google.com. 1683 IN A 72.14.209.86 > > orkut-bf.l.google.com. 1683 IN A 72.14.209.87 > > orkut-bf.l.google.com. 1683 IN A 72.14.209.94 > Esqueci de explicar o porque disso :) > > Quando usa um nome para criar a regra no iptables a ação tomada é: > resolver o nome e colocar o endereço ip para o mesmo na regra. > > Acontece que em casos como o do orkut e muitos websites há um > balanceamento de carga por DNS, onde há várias entradas com IPs > diferentes mas o mesmo hostname. Utilizar 4 vezes a mesma regra aqui > nao funcionaria, provavelmente todas seriam referentes ao primeiro > endereço, a melhor forma é fazer consultas esporádicas ao DNS de > tempos em tempos para fazer esse bloqueio no iptables ou usar > controles de filtros no squid, squidguard, dansguardian, squirm e etc.
Bom dia, Maxwillian, Somente aproveitando a mensagem para tirar uma dúvida. Esse problema de vários endereços IP resolvendo somente em um nome abrange muitas outras situações, uma delas e o Messenger, que além de váriar o IP varia a porta utilizada. Tenho regras no firewall para bloqueio do mensseger e outros que trabalham da mesma forma, também para esses bloqueios existe esse trabalho manual citado no e-mail, tenho que ficar sempre olhando os servidores, por exemplo, do messenger para atualizar o firewall e fazer o bloqueio funcionar ? Att Bruno Henrique de Oliveira. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
