Blog InfoAqui: Bloqueando o Gmail com Endian Firewall

16/12/2011

Bloqueando o Gmail com Endian Firewall

Muitos administradores de rede estão tendo problemas para bloquear o gmail, pois o google está usando, como padrão, o protocolo https para acesso ao seu serviço de e-mail. Por causa do uso desse protocolo, o Dansguardian (filtro de conteúdo) não consegue examinar os pacotes criptografados e permite o acesso, mesmo colocando o gmail na blacklist.

Já que o filtro de conteúdo não consegue filtrar o gmail, tive que partir para uma solução aonde deveria bloquear os endereços de rede onde o google atende pelo gmail.

Executando o comando de rede nslookup (windows) para www.gmail.com, accounts.google.com e mail.google.com pude perceber que o gmail responde nos IP’s abaixo:

Não é resposta de autorização:

Nome = googlemail.l.google.com

Addresses: 74.125.234.117, 74.125.234.119, 74.125.234.118

Aliases: www.gmail.com, mail.google.com

Não é resposta de autorização:

Nome = accounts.l.google.com

Address: 74.125.159.84

Aliases: accounts.google.com

Não é resposta de autorização:

Nome = googlemail.l.google.com

Addresses: 74.125.234.23, 74.125.234.21, 74.125.234.22

Aliases: mail.google.com

Analisando as respostas percebi que o google utiliza a rede 74.125.x.x para os seus serviços.

Como solução para o problema, resolvi criar uma regra para bloquear os endereços da rede 74.125.0.0/16 (74.125.0.0/255.255.0.0).

Fazendo esse bloqueio, percebi que os sites www.google.com.br e www.google.com pararam de funcionar.

Não é resposta de autorização:

Nome = www.l.google.com

Addresses: 74.125.234.16, 74.125.234.17, 74.125.234.18, 74.125.234.19, 74.125.234.20

Aliases: www.google.com.br, www.google.com

Sem o site de busca do Google não dá para ser feliz... hehehehe...

Então, para corrigir esse novo problema, especifiquei nessa regra que a porta a ser bloqueada é a 443 (https) usada pelo gmail ao invés de ANY.

Até hoje está funcionando e sem reclamação de bloqueio do site de busca do google, mas estou sempre vendo os logs para ver se algum usuário mais esperto está conseguindo acessar o gmail.

Tutorial:

Na tela principal clique na aba firewall. No menu da esquerda clique em Outgoing traffic.

Na tela do outgoing firewall configuration clique em “add a new firewall rule”.

Na tela de criação da regra siga os passos abaixo.

Em source marque a opção “Zone / Interface”.

Em select interfaces selecione o opção Green (placa de rede que atende a rede interna).

Em destination marque a opção Network / IP.

Em insert network / IP digite: 74.125.0.0/255.255.0.0

Em service selecione HTTPS. O resto ele seleciona sozinho.

Em action selecione Deny.

O campo remark é de comentário. Eu coloco para me lembrar o que regra faz.

Em position selecione a opção que quiser. O importante é que ela fique antes da regra que libera o protocolo https para a sua rede interna. Não necessariamente precisa ser a primeira.

Depois clique em create rule.

Um grande abraço a todos e até o próximo post.

12 comentários:

Fernanda Moraes disse...: acho muita maldade bloquear o gmail ahahahahahha; 16 de dezembro de 2011 11:33
Fernando Miranda disse...: Eu sei que é maldade, mas as regras aqui na empresa são rígidas quanto ao acesso à internet.; 20 de dezembro de 2011 11:26
DougSky disse...: Da para usar essa regra com o facebook que tbm utiliza o https ??; 16 de março de 2012 17:13
Fernando Miranda disse...: Dá sim, mas dá um pouco mais de trabalho. Aguarde os novos posts. Tô pensando em escrever sobre esse assunto.

Abraço.; 22 de março de 2012 21:24
Euclides disse...: Bom dia, estou usando o Endian 2.5.1 e gostaria de saber como faço pra adicionar os ips das maquinas de rede e controlar o que estao acessando na internet. pois eu usava um firewall antes que dava pra saber até o link de fotos abertas. fico no aguardo, e se possivel um tutorial via pdf por email. juniorturra@hotmai.com; 24 de maio de 2012 10:30
LEANDRO DE SOUZA disse...: Muito bom funcionou direitinho o bloqueio....porem por incrivel que parece o contrario para liberar nao funcionou....

Parabens pelo post; 24 de maio de 2012 16:55
LEANDRO DE SOUZA disse...: Funcionou o bloqueio, mas não funcionou a excessão...

Parabens pelo post; 24 de maio de 2012 16:56
Fernando Miranda disse...: Boa noite Leandro,

A regra de liberação de algumas máquinas tem que estar antes da regra que bloqueia todo mundo, senão todo mundo vai parar na regra mais restritiva.

Abraço.; 14 de junho de 2012 22:05
BrunoOo disse...: Bom dia.

Adorei a sua idéia de postar tutoriais!

Se quiser posso ajudar com o site, tenho alguns passo a passo que fiz para uso meu, e posso publicar caso se interesse.

Abraço!; 19 de fevereiro de 2013 11:00
Edinaldo Nascimento disse...: Cara estou tentando Libera o Conectividade social, mas esta difícil, você tem algum manual de como fazer.
já tentei liberar os seguintes IPS
200.201.173.68
200.202.195.98
200.201.166.200
200.201.174.204
200.201.174.207; 20 de junho de 2013 16:58
LEANDRO DE SOUZA disse...: O problema que o Google Maps tambem usa a porta 443, alguma dica? alguma regra pra liberar o maps na porta 443 ?; 29 de agosto de 2013 14:11
Anderson Bueno disse...: Boa gostei, só que usando esses ips ai, nao consegui, usa o nslookup e usei os ips atuais. esta redondinho agora.; 15 de outubro de 2013 13:10