Muitos
administradores de rede
estão tendo problemas para
bloquear o gmail, pois o
google está usando, como padrão, o protocolo
https para acesso
ao seu serviço
de e-mail. Por
causa do uso
desse protocolo, o Dansguardian (filtro de conteúdo)
não consegue examinar
os pacotes criptografados e permite o acesso, mesmo
colocando o gmail na blacklist.
Já que o filtro de conteúdo
não consegue filtrar
o gmail, tive que partir
para uma solução aonde deveria bloquear os endereços de rede
onde o google atende pelo
gmail.
Executando
o comando de rede
nslookup (windows) para www.gmail.com, accounts.google.com
e mail.google.com pude perceber
que o gmail responde nos IP’s abaixo:
Não
é resposta de autorização:
Nome
= googlemail.l.google.com
Addresses: 74.125.234.117, 74.125.234.119, 74.125.234.118
Aliases: www.gmail.com, mail.google.com
Não
é resposta de autorização:
Nome
= accounts.l.google.com
Address: 74.125.159.84
Aliases: accounts.google.com
Não
é resposta de autorização:
Nome
= googlemail.l.google.com
Addresses: 74.125.234.23, 74.125.234.21, 74.125.234.22
Aliases: mail.google.com
Analisando
as respostas percebi que o google utiliza a rede
74.125.x.x para os seus
serviços.
Como solução para
o problema, resolvi criar
uma regra para
bloquear os endereços
da rede 74.125.0.0/16
(74.125.0.0/255.255.0.0).
Não
é resposta de autorização:
Nome
= www.l.google.com
Addresses: 74.125.234.16, 74.125.234.17, 74.125.234.18, 74.125.234.19, 74.125.234.20
Aliases: www.google.com.br, www.google.com
Sem o site de busca do Google não
dá para ser feliz... hehehehe...
Então, para corrigir
esse novo problema, especifiquei nessa regra
que a porta
a ser bloqueada é a 443 (https) usada pelo
gmail ao invés de ANY.
Até hoje está
funcionando e sem reclamação de bloqueio
do site de busca
do google, mas estou sempre vendo os logs para ver se algum usuário mais esperto está conseguindo acessar
o gmail.
Tutorial:
Na tela
principal clique
na aba firewall. No menu
da esquerda clique
em Outgoing traffic.
Na tela do outgoing firewall configuration clique em “add a new firewall rule”.
Na tela
de criação da regra
siga os passos abaixo.
Em
source marque a opção “Zone / Interface”.
Em
select interfaces selecione o opção Green (placa
de rede que
atende a rede
interna).
Em
destination marque a opção Network / IP.
Em
insert network / IP digite: 74.125.0.0/255.255.0.0
Em
service selecione HTTPS. O resto ele seleciona sozinho.
Em
action selecione Deny.
O campo
remark é de comentário. Eu
coloco para me
lembrar o que
regra faz.
Em
position selecione a opção que quiser. O importante
é que ela
fique antes
da regra que
libera o protocolo https para
a sua rede
interna. Não
necessariamente precisa ser
a primeira.
Depois
clique em
create rule.
Um
grande abraço
a todos e até
o próximo post.
12 comentários:
acho muita maldade bloquear o gmail ahahahahahha
Eu sei que é maldade, mas as regras aqui na empresa são rígidas quanto ao acesso à internet.
Da para usar essa regra com o facebook que tbm utiliza o https ??
Dá sim, mas dá um pouco mais de trabalho. Aguarde os novos posts. Tô pensando em escrever sobre esse assunto.
Abraço.
Bom dia, estou usando o Endian 2.5.1 e gostaria de saber como faço pra adicionar os ips das maquinas de rede e controlar o que estao acessando na internet. pois eu usava um firewall antes que dava pra saber até o link de fotos abertas. fico no aguardo, e se possivel um tutorial via pdf por email. juniorturra@hotmai.com
Muito bom funcionou direitinho o bloqueio....porem por incrivel que parece o contrario para liberar nao funcionou....
Parabens pelo post
Funcionou o bloqueio, mas não funcionou a excessão...
Parabens pelo post
Boa noite Leandro,
A regra de liberação de algumas máquinas tem que estar antes da regra que bloqueia todo mundo, senão todo mundo vai parar na regra mais restritiva.
Abraço.
Bom dia.
Adorei a sua idéia de postar tutoriais!
Se quiser posso ajudar com o site, tenho alguns passo a passo que fiz para uso meu, e posso publicar caso se interesse.
Abraço!
Cara estou tentando Libera o Conectividade social, mas esta difícil, você tem algum manual de como fazer.
já tentei liberar os seguintes IPS
200.201.173.68
200.202.195.98
200.201.166.200
200.201.174.204
200.201.174.207
O problema que o Google Maps tambem usa a porta 443, alguma dica? alguma regra pra liberar o maps na porta 443 ?
Boa gostei, só que usando esses ips ai, nao consegui, usa o nslookup e usei os ips atuais. esta redondinho agora.
Postar um comentário