16/12/2011

Bloqueando o Gmail com Endian Firewall


Muitos administradores de rede estão tendo problemas para bloquear o gmail, pois o google está usando, como padrão, o protocolo https para acesso ao seu serviço de e-mail. Por causa do uso desse protocolo, o Dansguardian (filtro de conteúdo) não consegue examinar os pacotes criptografados e permite o acesso, mesmo colocando o gmail na blacklist.
que o filtro de conteúdo não consegue filtrar o gmail, tive que partir para uma solução aonde deveria bloquear os endereços de rede onde o google atende pelo gmail.
Executando o comando de rede nslookup (windows) para www.gmail.com, accounts.google.com e mail.google.com pude perceber que o gmail responde nos IP’s abaixo:

Não é resposta de autorização:
Nome = googlemail.l.google.com
Addresses: 74.125.234.117, 74.125.234.119, 74.125.234.118
Aliases: www.gmail.com, mail.google.com

Não é resposta de autorização:
Nome = accounts.l.google.com
Address: 74.125.159.84
Aliases: accounts.google.com

Não é resposta de autorização:
Nome = googlemail.l.google.com
Addresses: 74.125.234.23, 74.125.234.21, 74.125.234.22
Aliases: mail.google.com

Analisando as respostas percebi que o google utiliza a rede 74.125.x.x para os seus serviços.
Como solução para o problema, resolvi criar uma regra para bloquear os endereços da rede 74.125.0.0/16 (74.125.0.0/255.255.0.0).
Fazendo esse bloqueio, percebi que os sites www.google.com.br e www.google.com pararam de funcionar.

Não é resposta de autorização:
Nome = www.l.google.com
Addresses: 74.125.234.16, 74.125.234.17, 74.125.234.18, 74.125.234.19, 74.125.234.20
Aliases: www.google.com.br, www.google.com

Sem o site de busca do Google nãopara ser feliz... hehehehe...
Então, para corrigir esse novo problema, especifiquei nessa regra que a porta a ser bloqueada é a 443 (https) usada pelo gmail ao invés de ANY.
Até hoje está funcionando e sem reclamação de bloqueio do site de busca do google, mas estou sempre vendo os logs para ver se algum usuário mais esperto está conseguindo acessar o gmail.

Tutorial:




Na tela principal clique na aba firewall. No menu da esquerda clique em Outgoing traffic.





Na tela do outgoing firewall configuration clique em “add a new firewall rule”.



Na tela de criação da regra siga os passos abaixo.

Em source marque a opção “Zone / Interface”.
Em select interfaces selecione o opção Green (placa de rede que atende a  rede interna).
Em destination marque a opção Network / IP.
Em insert network / IP digite: 74.125.0.0/255.255.0.0
Em service selecione HTTPS. O resto ele seleciona sozinho.
Em action selecione Deny.
O campo remark é de comentário. Eu coloco para me lembrar o que regra faz.
Em position selecione a opção que quiser. O importante é que ela fique antes da regra que libera o protocolo https para a sua rede interna. Não necessariamente precisa ser a primeira.
Depois clique em create rule.

Um grande abraço a todos e até o próximo post.

12 comentários:

Fernanda Moraes disse...

acho muita maldade bloquear o gmail ahahahahahha

Fernando Miranda disse...

Eu sei que é maldade, mas as regras aqui na empresa são rígidas quanto ao acesso à internet.

DougSky disse...

Da para usar essa regra com o facebook que tbm utiliza o https ??

Fernando Miranda disse...

Dá sim, mas dá um pouco mais de trabalho. Aguarde os novos posts. Tô pensando em escrever sobre esse assunto.

Abraço.

Euclides disse...

Bom dia, estou usando o Endian 2.5.1 e gostaria de saber como faço pra adicionar os ips das maquinas de rede e controlar o que estao acessando na internet. pois eu usava um firewall antes que dava pra saber até o link de fotos abertas. fico no aguardo, e se possivel um tutorial via pdf por email. [email protected]

LEANDRO DE SOUZA disse...

Muito bom funcionou direitinho o bloqueio....porem por incrivel que parece o contrario para liberar nao funcionou....

Parabens pelo post

LEANDRO DE SOUZA disse...

Funcionou o bloqueio, mas não funcionou a excessão...

Parabens pelo post

Fernando Miranda disse...

Boa noite Leandro,

A regra de liberação de algumas máquinas tem que estar antes da regra que bloqueia todo mundo, senão todo mundo vai parar na regra mais restritiva.

Abraço.

BrunoOo disse...

Bom dia.

Adorei a sua idéia de postar tutoriais!

Se quiser posso ajudar com o site, tenho alguns passo a passo que fiz para uso meu, e posso publicar caso se interesse.

Abraço!

Edinaldo Nascimento disse...

Cara estou tentando Libera o Conectividade social, mas esta difícil, você tem algum manual de como fazer.
já tentei liberar os seguintes IPS
200.201.173.68
200.202.195.98
200.201.166.200
200.201.174.204
200.201.174.207

LEANDRO DE SOUZA disse...

O problema que o Google Maps tambem usa a porta 443, alguma dica? alguma regra pra liberar o maps na porta 443 ?

Anderson Bueno disse...

Boa gostei, só que usando esses ips ai, nao consegui, usa o nslookup e usei os ips atuais. esta redondinho agora.