[FUG-BR] duvida allow / deny ipfw
Olá
Necessito de uma ajuda com ipfw.
Não estou conseguindo que máquinas em específico sejam liberadas do
bloqueio.
##
## Limita ORKUT
##
ORKUT_IPS={ 74.125.113.0/24{85,86} or
64.233.163.0/24{85,86,87,88,89,90,91,92,93,94} or
64.233.171.0/24{85,86,87,88,89,90,91,
92,93,94,85,86} or 66.249.81.0/24{85,86,87,88,89,90,91,92,93,94,85,86,87} or
64.233.179.0/24{85,86,87,88,89,90,91,92,93,94,85,
86} or 72.14.247.0/24{85,86,87,88,89,90,91,92,93,94,91} or
72.14.209.0/24{85,86,87,94,85,86,87,88,89,90,91,92,93,94} or 216.23
9.51.0/24{85,86,125,85,86,87,88,89,90,91,92,93,94} or
216.239.37.0/24{85,86,125,85,86,87,88,89,90,91,92,93,94} or 209.85.141.0
/24{85,94,85,86,87,88,89,90,91,92,93,94} }
ipfw add allow all from 10.1.1.36/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.97/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.96/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.95/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.93/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.92/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.99/32 to ${ORKUT_IPS}
ipfw add allow all from 30.1.1.232/32 to ${ORKUT_IPS}
# as regras de allow acima não liberam o acesso e a de deny abaixo bloqueia
tudo.
# bloqueio
ipfw add deny all from any to ${ORKUT_IPS}
# eu acreditava que quando um allow é identificado as outras regras são
ignoradas.
O que há de errado?
Obrigado
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida allow / deny ipfw
Rudinei Dias escreveu:
Olá
Necessito de uma ajuda com ipfw.
Não estou conseguindo que máquinas em específico sejam liberadas do
bloqueio.
##
## Limita ORKUT
##
ORKUT_IPS={ 74.125.113.0/24{85,86} or
64.233.163.0/24{85,86,87,88,89,90,91,92,93,94} or
64.233.171.0/24{85,86,87,88,89,90,91,
92,93,94,85,86} or 66.249.81.0/24{85,86,87,88,89,90,91,92,93,94,85,86,87} or
64.233.179.0/24{85,86,87,88,89,90,91,92,93,94,85,
86} or 72.14.247.0/24{85,86,87,88,89,90,91,92,93,94,91} or
72.14.209.0/24{85,86,87,94,85,86,87,88,89,90,91,92,93,94} or 216.23
9.51.0/24{85,86,125,85,86,87,88,89,90,91,92,93,94} or
216.239.37.0/24{85,86,125,85,86,87,88,89,90,91,92,93,94} or 209.85.141.0
/24{85,94,85,86,87,88,89,90,91,92,93,94} }
ipfw add allow all from 10.1.1.36/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.97/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.96/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.95/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.93/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.92/32 to ${ORKUT_IPS}
ipfw add allow all from 10.1.1.99/32 to ${ORKUT_IPS}
ipfw add allow all from 30.1.1.232/32 to ${ORKUT_IPS}
# as regras de allow acima não liberam o acesso e a de deny abaixo bloqueia
tudo.
# bloqueio
ipfw add deny all from any to ${ORKUT_IPS}
# eu acreditava que quando um allow é identificado as outras regras são
ignoradas.
O que há de errado?
Obrigado
Rudinei, bom dia!
No caso específico do Orkut recomendo que você efetue o bloqueio via
proxy (a autenticação do Google é HTTPS, mas depois você será
redirecionado para um HTTP, que pode ser bloqueado até mesmo via proxy
transparente).
A outra sugestão é bloquear via DNS...
Esses bloqueios via IP não funcionam.. por exemplo, a algum tempo fiz
algo parecido com esse seu bloqueio, e misteriosamente o site
www.google.com deixou de abrir... você pode ter problemas com vários dos
serviços (GTalk, etc).
Faz via proxy que é super tranquilo.
--
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida allow / deny ipfw
Welkson Renny de Medeiros escreveu: Rudinei, bom dia! No caso específico do Orkut recomendo que você efetue o bloqueio via proxy (a autenticação do Google é HTTPS, mas depois você será redirecionado para um HTTP, que pode ser bloqueado até mesmo via proxy transparente). Também não funciona, se o usuário ficar navegando o tempo todo https, concorda que não passa mais pelo proxy? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida allow / deny ipfw
Márcio Luciano Donada escreveu: Welkson Renny de Medeiros escreveu: Rudinei, bom dia! No caso específico do Orkut recomendo que você efetue o bloqueio via proxy (a autenticação do Google é HTTPS, mas depois você será redirecionado para um HTTP, que pode ser bloqueado até mesmo via proxy transparente). Também não funciona, se o usuário ficar navegando o tempo todo https, concorda que não passa mais pelo proxy? Se você forçar HTTPS sair pelo proxy também, poderá fazer os bloqueios pelo método CONNECT. Já fiz o teste e funciona. -- Mauricio Bonani mbon...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida allow / deny ipfw
Mauricio Bonani escreveu: Márcio Luciano Donada escreveu: Welkson Renny de Medeiros escreveu: Rudinei, bom dia! No caso específico do Orkut recomendo que você efetue o bloqueio via proxy (a autenticação do Google é HTTPS, mas depois você será redirecionado para um HTTP, que pode ser bloqueado até mesmo via proxy transparente). Também não funciona, se o usuário ficar navegando o tempo todo https, concorda que não passa mais pelo proxy? Se você forçar HTTPS sair pelo proxy também, poderá fazer os bloqueios pelo método CONNECT. Já fiz o teste e funciona. Mauricio, blz? Claro, porém direcionando via firewall, como era a colocação original, ai não rola mesmo, o que você faz é dizer ao navegador o proxy, certo? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida allow / deny ipfw
2009/12/22 Welkson Renny de Medeiros welk...@focusautomacao.com.br Rudinei, bom dia! No caso específico do Orkut recomendo que você efetue o bloqueio via proxy (a autenticação do Google é HTTPS, mas depois você será redirecionado para um HTTP, que pode ser bloqueado até mesmo via proxy transparente). A outra sugestão é bloquear via DNS... Esses bloqueios via IP não funcionam.. por exemplo, a algum tempo fiz algo parecido com esse seu bloqueio, e misteriosamente o site www.google.com deixou de abrir... você pode ter problemas com vários dos serviços (GTalk, etc). Faz via proxy que é super tranquilo. -- Welkson Renny de Medeiros Olá Welkson. Fiz este mapeamento de IP e consegui bloquear completamente o orkut, sem bloquear o google. Mas o problema não é esse e não se limita à. Minha questão é *porque não está funcionando a regra de allow* que deveria liberar o acesso para aqueles IPs internos. Obrigado. Rudinei Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] duvida allow / deny ipfw
Márcio Luciano Donada escreveu: Mauricio Bonani escreveu: Márcio Luciano Donada escreveu: Welkson Renny de Medeiros escreveu: Rudinei, bom dia! No caso específico do Orkut recomendo que você efetue o bloqueio via proxy (a autenticação do Google é HTTPS, mas depois você será redirecionado para um HTTP, que pode ser bloqueado até mesmo via proxy transparente). Também não funciona, se o usuário ficar navegando o tempo todo https, concorda que não passa mais pelo proxy? Se você forçar HTTPS sair pelo proxy também, poderá fazer os bloqueios pelo método CONNECT. Já fiz o teste e funciona. Mauricio, blz? Claro, porém direcionando via firewall, como era a colocação original, ai não rola mesmo, o que você faz é dizer ao navegador o proxy, certo? Realmente, peguei a thread pela metade. Mas é isso mesmo, digo aos navegadores para usar o proxy. -- Mauricio Bonani mbon...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
