PF como filtro de Layer7, tentando bloquear o gTalk

classic Classic list List threaded Threaded
20 messages Options
Reply | Threaded
Open this post in threaded view
|

PF como filtro de Layer7, tentando bloquear o gTalk

Rodrigo Rocha-3
Senhores,

estou tentando bloquear o gtalk para a minha rede mas estou tendo uma  
certa dificuldade neste processo.

Minha regra default é

block in all
block out all

e só libero as portas desejadas.

Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"  
para vários IMs, neste caso este tipo de bloqueio funciona normal  
mas, quando as máquinas são win com o aplicativo original gtalk isso  
não esta funcionando. Aparentemente o gtalk(original) usa a porta 443  
para logar o gtalk o que me impede de fechá-la pois preciso de outros  
sites com esta porta.

Alguma idéia ?


Rodrigo Maués Rocha

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: PF como filtro de Layer7, tentando bloquear o gTalk

Joao Barros
On 6/27/07, Rodrigo Rocha <[hidden email]> wrote:

> Senhores,
>
> estou tentando bloquear o gtalk para a minha rede mas estou tendo uma
> certa dificuldade neste processo.
>
> Minha regra default é
>
> block in all
> block out all
>
> e só libero as portas desejadas.
>
> Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"
> para vários IMs, neste caso este tipo de bloqueio funciona normal
> mas, quando as máquinas são win com o aplicativo original gtalk isso
> não esta funcionando. Aparentemente o gtalk(original) usa a porta 443
> para logar o gtalk o que me impede de fechá-la pois preciso de outros
> sites com esta porta.
>
> Alguma idéia ?
>
>
> Rodrigo Maués Rocha


Verificas a que endereços ou nomes de servidores o gtalk esta a tentar
ligar-se e fazes uma blacklist.
Acabei de ajudar alguém a oprimir outros :Z

--
Joao Barros
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: PF como filtro de Layer7, tentando bloquear o gTalk

Rodrigo Rocha-3
João,

Obrigado pela dica. Já sei qual site ele usa(talk.google.com) o problema é que a autenticação é feita por 443 e parece que na minha regra não esta funcionando as regras que criei.

Aqui tem uma definição que encontrei.

Google Talk uses transport layer security for login (TCP 443) and XMPP
for XML Jabber communication (TCP port 5222) prior to clients talking
 over RTP (typically UDP 8000+ but will vary). Google Talk does not use
SIP (TCP 5060).

rtp_udp = "{ 8000><65535 }"

## Block gTalk
block in on $int_int proto udp from $int_int:network to any port $rtp_udp
block in on $int_int proto tcp from $int_int:network to any port 5222
block in on $int_int proto {tcp,udp} from $int_int:network to talk.google.com

## Block gTalk
block in on $ext_int proto udp from $int_int:network to any port $rtp_udp
block in on $ext_int proto tcp from $int_int:network to any port 5222


On 27/06/2007, at 11:23, Joao Barros wrote:

On 6/27/07, Rodrigo Rocha <[hidden email]> wrote:
Senhores,

estou tentando bloquear o gtalk para a minha rede mas estou tendo uma
certa dificuldade neste processo.

Minha regra default é

block in all
block out all

e só libero as portas desejadas.

Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"
para vários IMs, neste caso este tipo de bloqueio funciona normal
mas, quando as máquinas são win com o aplicativo original gtalk isso
não esta funcionando. Aparentemente o gtalk(original) usa a porta 443
para logar o gtalk o que me impede de fechá-la pois preciso de outros
sites com esta porta.

Alguma idéia ?


Rodrigo Maués Rocha


Verificas a que endereços ou nomes de servidores o gtalk esta a tentar
ligar-se e fazes uma blacklist.
Acabei de ajudar alguém a oprimir outros :Z

-- 
Joao Barros
_______________________________________________
OpenBSD mailing list


_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

RES: PF como filtro de Layer7, tentando bloquear o gTalk

MarcioSepp
In reply to this post by Rodrigo Rocha-3

Vc pode localizar o servidor que ele está buscando no momento da
autenticacão. E fazer um block para ele. Por exemplo:

Block in quick on $int_if from any to <nome_completo_do_servidor> port 443


Se fizer isso, não esqueça de ativar seu firewall na mão no arquivo
/etc/rc.local. Pois se deixar ele automático ele não vai conseguir resolver
o endereco quando a máquina subir.


Att.
Márcio A. Sepp
 

> -----Mensagem original-----
> De: [hidden email]
> [mailto:[hidden email]] Em nome de Rodrigo Rocha
> Enviada em: quarta-feira, 27 de junho de 2007 12:16
> Para: Lista de Discussão sobre OpenBSD
> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
> bloquear o gTalk
>
> Senhores,
>
> estou tentando bloquear o gtalk para a minha rede mas estou
> tendo uma certa dificuldade neste processo.
>
> Minha regra default é
>
> block in all
> block out all
>
> e só libero as portas desejadas.
>
> Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"  
> para vários IMs, neste caso este tipo de bloqueio funciona
> normal mas, quando as máquinas são win com o aplicativo
> original gtalk isso não esta funcionando. Aparentemente o
> gtalk(original) usa a porta 443 para logar o gtalk o que me
> impede de fechá-la pois preciso de outros sites com esta porta.
>
> Alguma idéia ?
>
>
> Rodrigo Maués Rocha
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Giancarlo Rubio
Não resolve??
http://mail.google.com/support/bin/answer.py?answer=34330

Marcio A. Sepp escreveu:

>
> Vc pode localizar o servidor que ele está buscando no momento da
> autenticacão. E fazer um block para ele. Por exemplo:
>
> Block in quick on $int_if from any to <nome_completo_do_servidor> port 443
>
>
> Se fizer isso, não esqueça de ativar seu firewall na mão no arquivo
> /etc/rc.local. Pois se deixar ele automático ele não vai conseguir
> resolver
> o endereco quando a máquina subir.
>
>
> Att.
> Márcio A. Sepp
>
>
>> -----Mensagem original-----
>> De: [hidden email]
>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
>> Para: Lista de Discussão sobre OpenBSD
>> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
>> bloquear o gTalk
>>
>> Senhores,
>>
>> estou tentando bloquear o gtalk para a minha rede mas estou
>> tendo uma certa dificuldade neste processo.
>>
>> Minha regra default é
>>
>> block in all
>> block out all
>>
>> e só libero as portas desejadas.
>>
>> Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"
>> para vários IMs, neste caso este tipo de bloqueio funciona
>> normal mas, quando as máquinas são win com o aplicativo
>> original gtalk isso não esta funcionando. Aparentemente o
>> gtalk(original) usa a porta 443 para logar o gtalk o que me
>> impede de fechá-la pois preciso de outros sites com esta porta.
>>
>> Alguma idéia ?
>>
>>
>> Rodrigo Maués Rocha
>>
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>


_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Joao Barros
Eu pensei nisso, mas não resolve o problema se alguém souber o IP e
adicionar uma entrada no hosts...

On 6/28/07, Giancarlo Rubio <[hidden email]> wrote:

> Não resolve??
> http://mail.google.com/support/bin/answer.py?answer=34330
>
> Marcio A. Sepp escreveu:
> >
> > Vc pode localizar o servidor que ele está buscando no momento da
> > autenticacão. E fazer um block para ele. Por exemplo:
> >
> > Block in quick on $int_if from any to <nome_completo_do_servidor> port 443
> >
> >
> > Se fizer isso, não esqueça de ativar seu firewall na mão no arquivo
> > /etc/rc.local. Pois se deixar ele automático ele não vai conseguir
> > resolver
> > o endereco quando a máquina subir.
> >
> >
> > Att.
> > Márcio A. Sepp
> >
> >
> >> -----Mensagem original-----
> >> De: [hidden email]
> >> [mailto:[hidden email]] Em nome de Rodrigo Rocha
> >> Enviada em: quarta-feira, 27 de junho de 2007 12:16
> >> Para: Lista de Discussão sobre OpenBSD
> >> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
> >> bloquear o gTalk
> >>
> >> Senhores,
> >>
> >> estou tentando bloquear o gtalk para a minha rede mas estou
> >> tendo uma certa dificuldade neste processo.
> >>
> >> Minha regra default é
> >>
> >> block in all
> >> block out all
> >>
> >> e só libero as portas desejadas.
> >>
> >> Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"
> >> para vários IMs, neste caso este tipo de bloqueio funciona
> >> normal mas, quando as máquinas são win com o aplicativo
> >> original gtalk isso não esta funcionando. Aparentemente o
> >> gtalk(original) usa a porta 443 para logar o gtalk o que me
> >> impede de fechá-la pois preciso de outros sites com esta porta.
> >>
> >> Alguma idéia ?
> >>
> >>
> >> Rodrigo Maués Rocha



--
Joao Barros
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Rodrigo Rocha-3
In reply to this post by Giancarlo Rubio
Marcio,

Resolveria se eu usasse um DNS interno, dai teria como redirecionar  
as requisições mas aqui uso DNS externo que não esta sob minha  
responsabilidade.



On 28/06/2007, at 12:10, Giancarlo Rubio wrote:

> Não resolve??
> http://mail.google.com/support/bin/answer.py?answer=34330
>
> Marcio A. Sepp escreveu:
>>
>> Vc pode localizar o servidor que ele está buscando no momento da
>> autenticacão. E fazer um block para ele. Por exemplo:
>>
>> Block in quick on $int_if from any to <nome_completo_do_servidor>  
>> port 443
>>
>>
>> Se fizer isso, não esqueça de ativar seu firewall na mão no arquivo
>> /etc/rc.local. Pois se deixar ele automático ele não vai conseguir
>> resolver
>> o endereco quando a máquina subir.
>>
>>
>> Att.
>> Márcio A. Sepp
>>
>>
>>> -----Mensagem original-----
>>> De: [hidden email]
>>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
>>> Para: Lista de Discussão sobre OpenBSD
>>> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
>>> bloquear o gTalk
>>>
>>> Senhores,
>>>
>>> estou tentando bloquear o gtalk para a minha rede mas estou
>>> tendo uma certa dificuldade neste processo.
>>>
>>> Minha regra default é
>>>
>>> block in all
>>> block out all
>>>
>>> e só libero as portas desejadas.
>>>
>>> Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"
>>> para vários IMs, neste caso este tipo de bloqueio funciona
>>> normal mas, quando as máquinas são win com o aplicativo
>>> original gtalk isso não esta funcionando. Aparentemente o
>>> gtalk(original) usa a porta 443 para logar o gtalk o que me
>>> impede de fechá-la pois preciso de outros sites com esta porta.
>>>
>>> Alguma idéia ?
>>>
>>>
>>> Rodrigo Maués Rocha
>>>
>>> _______________________________________________
>>> OpenBSD mailing list
>>> [hidden email]
>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>
>>
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Ari Constancio-3
Olá,

Bloquear b.mail.google.com resulta (no meu caso com Squid), mesmo sem
bloquear chatenabled.mail.google.com .

Ari Constâncio

On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:

> Marcio,
>
> Resolveria se eu usasse um DNS interno, dai teria como redirecionar
> as requisições mas aqui uso DNS externo que não esta sob minha
> responsabilidade.
>
>
>
> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
>
> > Não resolve??
> > http://mail.google.com/support/bin/answer.py?answer=34330
> >
> > Marcio A. Sepp escreveu:
> >>
> >> Vc pode localizar o servidor que ele está buscando no momento da
> >> autenticacão. E fazer um block para ele. Por exemplo:
> >>
> >> Block in quick on $int_if from any to <nome_completo_do_servidor>
> >> port 443
> >>
> >>
> >> Se fizer isso, não esqueça de ativar seu firewall na mão no arquivo
> >> /etc/rc.local. Pois se deixar ele automático ele não vai conseguir
> >> resolver
> >> o endereco quando a máquina subir.
> >>
> >>
> >> Att.
> >> Márcio A. Sepp
> >>
> >>
> >>> -----Mensagem original-----
> >>> De: [hidden email]
> >>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
> >>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
> >>> Para: Lista de Discussão sobre OpenBSD
> >>> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
> >>> bloquear o gTalk
> >>>
> >>> Senhores,
> >>>
> >>> estou tentando bloquear o gtalk para a minha rede mas estou
> >>> tendo uma certa dificuldade neste processo.
> >>>
> >>> Minha regra default é
> >>>
> >>> block in all
> >>> block out all
> >>>
> >>> e só libero as portas desejadas.
> >>>
> >>> Minha máquina é um Mac OS X e uso o aplicativo adium, um "genérico"
> >>> para vários IMs, neste caso este tipo de bloqueio funciona
> >>> normal mas, quando as máquinas são win com o aplicativo
> >>> original gtalk isso não esta funcionando. Aparentemente o
> >>> gtalk(original) usa a porta 443 para logar o gtalk o que me
> >>> impede de fechá-la pois preciso de outros sites com esta porta.
> >>>
> >>> Alguma idéia ?
> >>>
> >>>
> >>> Rodrigo Maués Rocha
> >>>
> >>> _______________________________________________
> >>> OpenBSD mailing list
> >>> [hidden email]
> >>> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>>
> >>
> >> _______________________________________________
> >> OpenBSD mailing list
> >> [hidden email]
> >> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>
> >
> >
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Rodrigo Rocha-3
Ari,

Para você funcionou ?

E o acesso ao gmail ainda continua ? O meu interesse é somente  
bloquear o gtalk e continuar com acesso ao gmail.

Fiz como o Marcio sugeriu mas não funcionou a regra:

block in on $int_int proto {tcp,udp} from $int_int:network to  
talk.google.com port 443

Parece não ter efeito. O que me intriga é que como a regra padrão é:

block drop log all

e o gtalk só usa a 443 para autenticar e depois passa a usar a 5222,  
mesmo liberando acesso 443 to any e não liberando a 5222 não deveria  
funcionar, certo!? e para garantir ainda fiz:

block in on $int_int proto tcp from $int_int:network to any port 5222

Só para garantir.

Alguma ajuda?!

Obrigado

On 28/06/2007, at 14:40, Ari Constancio wrote:

> Olá,
>
> Bloquear b.mail.google.com resulta (no meu caso com Squid), mesmo sem
> bloquear chatenabled.mail.google.com .
>
> Ari Constâncio
>
> On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
>> Marcio,
>>
>> Resolveria se eu usasse um DNS interno, dai teria como redirecionar
>> as requisições mas aqui uso DNS externo que não esta sob minha
>> responsabilidade.
>>
>>
>>
>> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
>>
>> > Não resolve??
>> > http://mail.google.com/support/bin/answer.py?answer=34330
>> >
>> > Marcio A. Sepp escreveu:
>> >>
>> >> Vc pode localizar o servidor que ele está buscando no momento da
>> >> autenticacão. E fazer um block para ele. Por exemplo:
>> >>
>> >> Block in quick on $int_if from any to <nome_completo_do_servidor>
>> >> port 443
>> >>
>> >>
>> >> Se fizer isso, não esqueça de ativar seu firewall na mão no  
>> arquivo
>> >> /etc/rc.local. Pois se deixar ele automático ele não vai conseguir
>> >> resolver
>> >> o endereco quando a máquina subir.
>> >>
>> >>
>> >> Att.
>> >> Márcio A. Sepp
>> >>
>> >>
>> >>> -----Mensagem original-----
>> >>> De: [hidden email]
>> >>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>> >>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
>> >>> Para: Lista de Discussão sobre OpenBSD
>> >>> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
>> >>> bloquear o gTalk
>> >>>
>> >>> Senhores,
>> >>>
>> >>> estou tentando bloquear o gtalk para a minha rede mas estou
>> >>> tendo uma certa dificuldade neste processo.
>> >>>
>> >>> Minha regra default é
>> >>>
>> >>> block in all
>> >>> block out all
>> >>>
>> >>> e só libero as portas desejadas.
>> >>>
>> >>> Minha máquina é um Mac OS X e uso o aplicativo adium, um  
>> "genérico"
>> >>> para vários IMs, neste caso este tipo de bloqueio funciona
>> >>> normal mas, quando as máquinas são win com o aplicativo
>> >>> original gtalk isso não esta funcionando. Aparentemente o
>> >>> gtalk(original) usa a porta 443 para logar o gtalk o que me
>> >>> impede de fechá-la pois preciso de outros sites com esta porta.
>> >>>
>> >>> Alguma idéia ?
>> >>>
>> >>>
>> >>> Rodrigo Maués Rocha
>> >>>
>> >>> _______________________________________________
>> >>> OpenBSD mailing list
>> >>> [hidden email]
>> >>> http://neei.uevora.pt/mailman/listinfo/openbsd
>> >>>
>> >>
>> >> _______________________________________________
>> >> OpenBSD mailing list
>> >> [hidden email]
>> >> http://neei.uevora.pt/mailman/listinfo/openbsd
>> >>
>> >
>> >
>> > _______________________________________________
>> > OpenBSD mailing list
>> > [hidden email]
>> > http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Luciano M. Mercucci
Será que não tem nenhuma regra quick ?
ou por que não tenta usar essa como quick

block in quick on $int_int proto {tcp,udp} from $int_int:network to
talk.google.com port 443

Obrigado,
Luciano


-----Mensagem original-----
De: [hidden email]
[mailto:[hidden email]]Em nome de Rodrigo Rocha
Enviada em: quinta-feira, 28 de junho de 2007 17:34
Para: Lista de Discussão sobre OpenBSD
Assunto: Re: RES: [OpenBSD-PT] PF como filtro de Layer7,tentando
bloquear o gTalk


Ari,

Para você funcionou ?

E o acesso ao gmail ainda continua ? O meu interesse é somente
bloquear o gtalk e continuar com acesso ao gmail.

Fiz como o Marcio sugeriu mas não funcionou a regra:

block in on $int_int proto {tcp,udp} from $int_int:network to
talk.google.com port 443

Parece não ter efeito. O que me intriga é que como a regra padrão é:

block drop log all

e o gtalk só usa a 443 para autenticar e depois passa a usar a 5222,
mesmo liberando acesso 443 to any e não liberando a 5222 não deveria
funcionar, certo!? e para garantir ainda fiz:

block in on $int_int proto tcp from $int_int:network to any port 5222

Só para garantir.

Alguma ajuda?!

Obrigado

On 28/06/2007, at 14:40, Ari Constancio wrote:

> Olá,
>
> Bloquear b.mail.google.com resulta (no meu caso com Squid), mesmo sem
> bloquear chatenabled.mail.google.com .
>
> Ari Constâncio
>
> On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
>> Marcio,
>>
>> Resolveria se eu usasse um DNS interno, dai teria como redirecionar
>> as requisições mas aqui uso DNS externo que não esta sob minha
>> responsabilidade.
>>
>>
>>
>> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
>>
>> > Não resolve??
>> > http://mail.google.com/support/bin/answer.py?answer=34330
>> >
>> > Marcio A. Sepp escreveu:
>> >>
>> >> Vc pode localizar o servidor que ele está buscando no momento da
>> >> autenticacão. E fazer um block para ele. Por exemplo:
>> >>
>> >> Block in quick on $int_if from any to <nome_completo_do_servidor>
>> >> port 443
>> >>
>> >>
>> >> Se fizer isso, não esqueça de ativar seu firewall na mão no
>> arquivo
>> >> /etc/rc.local. Pois se deixar ele automático ele não vai conseguir
>> >> resolver
>> >> o endereco quando a máquina subir.
>> >>
>> >>
>> >> Att.
>> >> Márcio A. Sepp
>> >>
>> >>
>> >>> -----Mensagem original-----
>> >>> De: [hidden email]
>> >>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>> >>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
>> >>> Para: Lista de Discussão sobre OpenBSD
>> >>> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
>> >>> bloquear o gTalk
>> >>>
>> >>> Senhores,
>> >>>
>> >>> estou tentando bloquear o gtalk para a minha rede mas estou
>> >>> tendo uma certa dificuldade neste processo.
>> >>>
>> >>> Minha regra default é
>> >>>
>> >>> block in all
>> >>> block out all
>> >>>
>> >>> e só libero as portas desejadas.
>> >>>
>> >>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
>> "genérico"
>> >>> para vários IMs, neste caso este tipo de bloqueio funciona
>> >>> normal mas, quando as máquinas são win com o aplicativo
>> >>> original gtalk isso não esta funcionando. Aparentemente o
>> >>> gtalk(original) usa a porta 443 para logar o gtalk o que me
>> >>> impede de fechá-la pois preciso de outros sites com esta porta.
>> >>>
>> >>> Alguma idéia ?
>> >>>
>> >>>
>> >>> Rodrigo Maués Rocha
>> >>>
>> >>> _______________________________________________
>> >>> OpenBSD mailing list
>> >>> [hidden email]
>> >>> http://neei.uevora.pt/mailman/listinfo/openbsd
>> >>>
>> >>
>> >> _______________________________________________
>> >> OpenBSD mailing list
>> >> [hidden email]
>> >> http://neei.uevora.pt/mailman/listinfo/openbsd
>> >>
>> >
>> >
>> > _______________________________________________
>> > OpenBSD mailing list
>> > [hidden email]
>> > http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd


               
_______________________________________________________
Yahoo! Mail - Sempre a melhor opção para você!
Experimente já e veja as novidades.
http://br.yahoo.com/mailbeta/tudonovo/
 

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Glaucius Djalma Pereira Junior
muito cuidado e precaução ao criar regras no PF com dominios, no momento de startup do fw, caso ele não consiga resolver o domínio o PF não consegue subir e fica sem regras alguma de forward ou nat, muita precaução nestas horas.



On 6/28/07, Luciano M. Mercucci <[hidden email]> wrote:
Será que não tem nenhuma regra quick ?
ou por que não tenta usar essa como quick

block in quick on $int_int proto {tcp,udp} from $int_int:network to
talk.google.com port 443

Obrigado,
Luciano


-----Mensagem original-----
De: [hidden email]
[mailto:[hidden email]]Em nome de Rodrigo Rocha
Enviada em: quinta-feira, 28 de junho de 2007 17:34
Para: Lista de Discussão sobre OpenBSD
Assunto: Re: RES: [OpenBSD-PT] PF como filtro de Layer7,tentando
bloquear o gTalk


Ari,

Para você funcionou ?

E o acesso ao gmail ainda continua ? O meu interesse é somente
bloquear o gtalk e continuar com acesso ao gmail.

Fiz como o Marcio sugeriu mas não funcionou a regra:

block in on $int_int proto {tcp,udp} from $int_int:network to
talk.google.com port 443

Parece não ter efeito. O que me intriga é que como a regra padrão é:

block drop log all

e o gtalk só usa a 443 para autenticar e depois passa a usar a 5222,
mesmo liberando acesso 443 to any e não liberando a 5222 não deveria
funcionar, certo!? e para garantir ainda fiz:

block in on $int_int proto tcp from $int_int:network to any port 5222

Só para garantir.

Alguma ajuda?!

Obrigado

On 28/06/2007, at 14:40, Ari Constancio wrote:

> Olá,
>
> Bloquear b.mail.google.com resulta (no meu caso com Squid), mesmo sem
> bloquear chatenabled.mail.google.com .
>
> Ari Constâncio
>
> On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
>> Marcio,
>>
>> Resolveria se eu usasse um DNS interno, dai teria como redirecionar
>> as requisições mas aqui uso DNS externo que não esta sob minha
>> responsabilidade.
>>
>>
>>
>> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
>>
>> > Não resolve??
>> > http://mail.google.com/support/bin/answer.py?answer=34330
>> >
>> > Marcio A. Sepp escreveu:
>> >>
>> >> Vc pode localizar o servidor que ele está buscando no momento da
>> >> autenticacão. E fazer um block para ele. Por exemplo:
>> >>
>> >> Block in quick on $int_if from any to <nome_completo_do_servidor>
>> >> port 443
>> >>

>> >>
>> >> Se fizer isso, não esqueça de ativar seu firewall na mão no
>> arquivo
>> >> /etc/rc.local. Pois se deixar ele automático ele não vai conseguir
>> >> resolver
>> >> o endereco quando a máquina subir.
>> >>
>> >>
>> >> Att.
>> >> Márcio A. Sepp
>> >>
>> >>
>> >>> -----Mensagem original-----
>> >>> De: [hidden email]
>> >>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>> >>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
>> >>> Para: Lista de Discussão sobre OpenBSD
>> >>> Assunto: [OpenBSD-PT] PF como filtro de Layer7, tentando
>> >>> bloquear o gTalk
>> >>>
>> >>> Senhores,
>> >>>
>> >>> estou tentando bloquear o gtalk para a minha rede mas estou
>> >>> tendo uma certa dificuldade neste processo.
>> >>>
>> >>> Minha regra default é
>> >>>
>> >>> block in all
>> >>> block out all
>> >>>
>> >>> e só libero as portas desejadas.
>> >>>
>> >>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
>> "genérico"
>> >>> para vários IMs, neste caso este tipo de bloqueio funciona
>> >>> normal mas, quando as máquinas são win com o aplicativo
>> >>> original gtalk isso não esta funcionando. Aparentemente o
>> >>> gtalk(original) usa a porta 443 para logar o gtalk o que me
>> >>> impede de fechá-la pois preciso de outros sites com esta porta.
>> >>>
>> >>> Alguma idéia ?
>> >>>
>> >>>
>> >>> Rodrigo Maués Rocha
>> >>>
>> >>> _______________________________________________
>> >>> OpenBSD mailing list
>> >>> [hidden email]
>> >>> http://neei.uevora.pt/mailman/listinfo/openbsd
>> >>>
>> >>
>> >> _______________________________________________
>> >> OpenBSD mailing list
>> >> [hidden email]
>> >> http://neei.uevora.pt/mailman/listinfo/openbsd
>> >>
>> >
>> >
>> > _______________________________________________
>> > OpenBSD mailing list
>> > [hidden email]
>> > http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd



_______________________________________________________
Yahoo! Mail - Sempre a melhor opção para você!
Experimente já e veja as novidades.
http://br.yahoo.com/mailbeta/tudonovo/


_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd



--
Glaucius Djalma Pereira Junior
[hidden email]
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

MarcioSepp
In reply to this post by Rodrigo Rocha-3

Hum...  Procurei numa máquina que fizemos tempos atrás e encontramos uma
"gambiarra" assim:

# orkut - bloqueio
rdr pass on $int_if proto tcp from any to orkut.com port 443 -> 192.168.2.2
port 443

Onde o ip 192.168.2.2 não responde na porta 443, ou seja, a requisição vai
dar nele morre por aih.

(a minha rede interna no caso acima é 192.168.0.0/24)


Acho que isso resolve pra vc. (ao menos por hora até encontrar coisa
melhor).



Att.
Márcio A. Sepp
 

> -----Mensagem original-----
> De: [hidden email]
> [mailto:[hidden email]] Em nome de Rodrigo Rocha
> Enviada em: quinta-feira, 28 de junho de 2007 17:34
> Para: Lista de Discussão sobre OpenBSD
> Assunto: Re: RES: [OpenBSD-PT] PF como filtro de
> Layer7,tentando bloquear o gTalk
>
> Ari,
>
> Para você funcionou ?
>
> E o acesso ao gmail ainda continua ? O meu interesse é
> somente bloquear o gtalk e continuar com acesso ao gmail.
>
> Fiz como o Marcio sugeriu mas não funcionou a regra:
>
> block in on $int_int proto {tcp,udp} from $int_int:network to
> talk.google.com port 443
>
> Parece não ter efeito. O que me intriga é que como a regra padrão é:
>
> block drop log all
>
> e o gtalk só usa a 443 para autenticar e depois passa a usar
> a 5222, mesmo liberando acesso 443 to any e não liberando a
> 5222 não deveria funcionar, certo!? e para garantir ainda fiz:
>
> block in on $int_int proto tcp from $int_int:network to any port 5222
>
> Só para garantir.
>
> Alguma ajuda?!
>
> Obrigado
>
> On 28/06/2007, at 14:40, Ari Constancio wrote:
>
> > Olá,
> >
> > Bloquear b.mail.google.com resulta (no meu caso com Squid),
> mesmo sem
> > bloquear chatenabled.mail.google.com .
> >
> > Ari Constâncio
> >
> > On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
> >> Marcio,
> >>
> >> Resolveria se eu usasse um DNS interno, dai teria como
> redirecionar
> >> as requisições mas aqui uso DNS externo que não esta sob minha
> >> responsabilidade.
> >>
> >>
> >>
> >> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
> >>
> >> > Não resolve??
> >> > http://mail.google.com/support/bin/answer.py?answer=34330
> >> >
> >> > Marcio A. Sepp escreveu:
> >> >>
> >> >> Vc pode localizar o servidor que ele está buscando no
> momento da
> >> >> autenticacão. E fazer um block para ele. Por exemplo:
> >> >>
> >> >> Block in quick on $int_if from any to
> <nome_completo_do_servidor>
> >> >> port 443
> >> >>
> >> >>
> >> >> Se fizer isso, não esqueça de ativar seu firewall na mão no
> >> arquivo
> >> >> /etc/rc.local. Pois se deixar ele automático ele não
> vai conseguir
> >> >> resolver o endereco quando a máquina subir.
> >> >>
> >> >>
> >> >> Att.
> >> >> Márcio A. Sepp
> >> >>
> >> >>
> >> >>> -----Mensagem original-----
> >> >>> De: [hidden email]
> >> >>> [mailto:[hidden email]] Em nome de
> Rodrigo Rocha
> >> >>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
> >> >>> Para: Lista de Discussão sobre OpenBSD
> >> >>> Assunto: [OpenBSD-PT] PF como filtro de Layer7,
> tentando bloquear
> >> >>> o gTalk
> >> >>>
> >> >>> Senhores,
> >> >>>
> >> >>> estou tentando bloquear o gtalk para a minha rede mas
> estou tendo
> >> >>> uma certa dificuldade neste processo.
> >> >>>
> >> >>> Minha regra default é
> >> >>>
> >> >>> block in all
> >> >>> block out all
> >> >>>
> >> >>> e só libero as portas desejadas.
> >> >>>
> >> >>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
> >> "genérico"
> >> >>> para vários IMs, neste caso este tipo de bloqueio
> funciona normal
> >> >>> mas, quando as máquinas são win com o aplicativo
> original gtalk
> >> >>> isso não esta funcionando. Aparentemente o
> >> >>> gtalk(original) usa a porta 443 para logar o gtalk o que me
> >> >>> impede de fechá-la pois preciso de outros sites com esta porta.
> >> >>>
> >> >>> Alguma idéia ?
> >> >>>
> >> >>>
> >> >>> Rodrigo Maués Rocha
> >> >>>
> >> >>> _______________________________________________
> >> >>> OpenBSD mailing list
> >> >>> [hidden email]
> >> >>> http://neei.uevora.pt/mailman/listinfo/openbsd
> >> >>>
> >> >>
> >> >> _______________________________________________
> >> >> OpenBSD mailing list
> >> >> [hidden email]
> >> >> http://neei.uevora.pt/mailman/listinfo/openbsd
> >> >>
> >> >
> >> >
> >> > _______________________________________________
> >> > OpenBSD mailing list
> >> > [hidden email]
> >> > http://neei.uevora.pt/mailman/listinfo/openbsd
> >>
> >> _______________________________________________
> >> OpenBSD mailing list
> >> [hidden email]
> >> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Ari Constancio-3
Olá,

Sim, é outra possibilidade. Eu, em particular, uso essa regra para
redireccionar pedidos HTTP para o proxy (os utilizadores de Portable
Firefox ou outros browsers de mão não gostam muito :p).

Seria algo como:

rdr on $int_if proto tcp from { <lab> } to any port $web_port ->
$squid_serv port $squid_port

muito semelhante à regra que o Márcio indicou (embora eu use proxy).

Como indiquei antes, bloquear b.mail.google.com funciona sem barrar o
acesso ao Gmail.

Ari Constâncio

On 6/28/07, Marcio A. Sepp <[hidden email]> wrote:

>
> Hum...  Procurei numa máquina que fizemos tempos atrás e encontramos uma
> "gambiarra" assim:
>
> # orkut - bloqueio
> rdr pass on $int_if proto tcp from any to orkut.com port 443 -> 192.168.2.2
> port 443
>
> Onde o ip 192.168.2.2 não responde na porta 443, ou seja, a requisição vai
> dar nele morre por aih.
>
> (a minha rede interna no caso acima é 192.168.0.0/24)
>
>
> Acho que isso resolve pra vc. (ao menos por hora até encontrar coisa
> melhor).
>
>
>
> Att.
> Márcio A. Sepp
>
>
> > -----Mensagem original-----
> > De: [hidden email]
> > [mailto:[hidden email]] Em nome de Rodrigo Rocha
> > Enviada em: quinta-feira, 28 de junho de 2007 17:34
> > Para: Lista de Discussão sobre OpenBSD
> > Assunto: Re: RES: [OpenBSD-PT] PF como filtro de
> > Layer7,tentando bloquear o gTalk
> >
> > Ari,
> >
> > Para você funcionou ?
> >
> > E o acesso ao gmail ainda continua ? O meu interesse é
> > somente bloquear o gtalk e continuar com acesso ao gmail.
> >
> > Fiz como o Marcio sugeriu mas não funcionou a regra:
> >
> > block in on $int_int proto {tcp,udp} from $int_int:network to
> > talk.google.com port 443
> >
> > Parece não ter efeito. O que me intriga é que como a regra padrão é:
> >
> > block drop log all
> >
> > e o gtalk só usa a 443 para autenticar e depois passa a usar
> > a 5222, mesmo liberando acesso 443 to any e não liberando a
> > 5222 não deveria funcionar, certo!? e para garantir ainda fiz:
> >
> > block in on $int_int proto tcp from $int_int:network to any port 5222
> >
> > Só para garantir.
> >
> > Alguma ajuda?!
> >
> > Obrigado
> >
> > On 28/06/2007, at 14:40, Ari Constancio wrote:
> >
> > > Olá,
> > >
> > > Bloquear b.mail.google.com resulta (no meu caso com Squid),
> > mesmo sem
> > > bloquear chatenabled.mail.google.com .
> > >
> > > Ari Constâncio
> > >
> > > On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
> > >> Marcio,
> > >>
> > >> Resolveria se eu usasse um DNS interno, dai teria como
> > redirecionar
> > >> as requisições mas aqui uso DNS externo que não esta sob minha
> > >> responsabilidade.
> > >>
> > >>
> > >>
> > >> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
> > >>
> > >> > Não resolve??
> > >> > http://mail.google.com/support/bin/answer.py?answer=34330
> > >> >
> > >> > Marcio A. Sepp escreveu:
> > >> >>
> > >> >> Vc pode localizar o servidor que ele está buscando no
> > momento da
> > >> >> autenticacão. E fazer um block para ele. Por exemplo:
> > >> >>
> > >> >> Block in quick on $int_if from any to
> > <nome_completo_do_servidor>
> > >> >> port 443
> > >> >>
> > >> >>
> > >> >> Se fizer isso, não esqueça de ativar seu firewall na mão no
> > >> arquivo
> > >> >> /etc/rc.local. Pois se deixar ele automático ele não
> > vai conseguir
> > >> >> resolver o endereco quando a máquina subir.
> > >> >>
> > >> >>
> > >> >> Att.
> > >> >> Márcio A. Sepp
> > >> >>
> > >> >>
> > >> >>> -----Mensagem original-----
> > >> >>> De: [hidden email]
> > >> >>> [mailto:[hidden email]] Em nome de
> > Rodrigo Rocha
> > >> >>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
> > >> >>> Para: Lista de Discussão sobre OpenBSD
> > >> >>> Assunto: [OpenBSD-PT] PF como filtro de Layer7,
> > tentando bloquear
> > >> >>> o gTalk
> > >> >>>
> > >> >>> Senhores,
> > >> >>>
> > >> >>> estou tentando bloquear o gtalk para a minha rede mas
> > estou tendo
> > >> >>> uma certa dificuldade neste processo.
> > >> >>>
> > >> >>> Minha regra default é
> > >> >>>
> > >> >>> block in all
> > >> >>> block out all
> > >> >>>
> > >> >>> e só libero as portas desejadas.
> > >> >>>
> > >> >>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
> > >> "genérico"
> > >> >>> para vários IMs, neste caso este tipo de bloqueio
> > funciona normal
> > >> >>> mas, quando as máquinas são win com o aplicativo
> > original gtalk
> > >> >>> isso não esta funcionando. Aparentemente o
> > >> >>> gtalk(original) usa a porta 443 para logar o gtalk o que me
> > >> >>> impede de fechá-la pois preciso de outros sites com esta porta.
> > >> >>>
> > >> >>> Alguma idéia ?
> > >> >>>
> > >> >>>
> > >> >>> Rodrigo Maués Rocha
> > >> >>>
> > >> >>> _______________________________________________
> > >> >>> OpenBSD mailing list
> > >> >>> [hidden email]
> > >> >>> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >> >>>
> > >> >>
> > >> >> _______________________________________________
> > >> >> OpenBSD mailing list
> > >> >> [hidden email]
> > >> >> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >> >>
> > >> >
> > >> >
> > >> > _______________________________________________
> > >> > OpenBSD mailing list
> > >> > [hidden email]
> > >> > http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>
> > >> _______________________________________________
> > >> OpenBSD mailing list
> > >> [hidden email]
> > >> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>
> > > _______________________________________________
> > > OpenBSD mailing list
> > > [hidden email]
> > > http://neei.uevora.pt/mailman/listinfo/openbsd
> >
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
> >
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Rodrigo Rocha-3
In reply to this post by MarcioSepp
Márcio,

Você tem como me mandar este arquivo do pf, sem os IPs claro, só  
quero comparar as regras, aqui não funcionou. Esse gtalk parece uma  
das 7 pragas do Egito.




On 28/06/2007, at 18:02, Marcio A. Sepp wrote:

>
> Hum...  Procurei numa máquina que fizemos tempos atrás e  
> encontramos uma
> "gambiarra" assim:
>
> # orkut - bloqueio
> rdr pass on $int_if proto tcp from any to orkut.com port 443 ->  
> 192.168.2.2
> port 443
>
> Onde o ip 192.168.2.2 não responde na porta 443, ou seja, a  
> requisição vai
> dar nele morre por aih.
>
> (a minha rede interna no caso acima é 192.168.0.0/24)
>
>
> Acho que isso resolve pra vc. (ao menos por hora até encontrar coisa
> melhor).
>
>
>
> Att.
> Márcio A. Sepp
>
>
>> -----Mensagem original-----
>> De: [hidden email]
>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>> Enviada em: quinta-feira, 28 de junho de 2007 17:34
>> Para: Lista de Discussão sobre OpenBSD
>> Assunto: Re: RES: [OpenBSD-PT] PF como filtro de
>> Layer7,tentando bloquear o gTalk
>>
>> Ari,
>>
>> Para você funcionou ?
>>
>> E o acesso ao gmail ainda continua ? O meu interesse é
>> somente bloquear o gtalk e continuar com acesso ao gmail.
>>
>> Fiz como o Marcio sugeriu mas não funcionou a regra:
>>
>> block in on $int_int proto {tcp,udp} from $int_int:network to
>> talk.google.com port 443
>>
>> Parece não ter efeito. O que me intriga é que como a regra padrão é:
>>
>> block drop log all
>>
>> e o gtalk só usa a 443 para autenticar e depois passa a usar
>> a 5222, mesmo liberando acesso 443 to any e não liberando a
>> 5222 não deveria funcionar, certo!? e para garantir ainda fiz:
>>
>> block in on $int_int proto tcp from $int_int:network to any port 5222
>>
>> Só para garantir.
>>
>> Alguma ajuda?!
>>
>> Obrigado
>>
>> On 28/06/2007, at 14:40, Ari Constancio wrote:
>>
>>> Olá,
>>>
>>> Bloquear b.mail.google.com resulta (no meu caso com Squid),
>> mesmo sem
>>> bloquear chatenabled.mail.google.com .
>>>
>>> Ari Constâncio
>>>
>>> On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
>>>> Marcio,
>>>>
>>>> Resolveria se eu usasse um DNS interno, dai teria como
>> redirecionar
>>>> as requisições mas aqui uso DNS externo que não esta sob minha
>>>> responsabilidade.
>>>>
>>>>
>>>>
>>>> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
>>>>
>>>>> Não resolve??
>>>>> http://mail.google.com/support/bin/answer.py?answer=34330
>>>>>
>>>>> Marcio A. Sepp escreveu:
>>>>>>
>>>>>> Vc pode localizar o servidor que ele está buscando no
>> momento da
>>>>>> autenticacão. E fazer um block para ele. Por exemplo:
>>>>>>
>>>>>> Block in quick on $int_if from any to
>> <nome_completo_do_servidor>
>>>>>> port 443
>>>>>>
>>>>>>
>>>>>> Se fizer isso, não esqueça de ativar seu firewall na mão no
>>>> arquivo
>>>>>> /etc/rc.local. Pois se deixar ele automático ele não
>> vai conseguir
>>>>>> resolver o endereco quando a máquina subir.
>>>>>>
>>>>>>
>>>>>> Att.
>>>>>> Márcio A. Sepp
>>>>>>
>>>>>>
>>>>>>> -----Mensagem original-----
>>>>>>> De: [hidden email]
>>>>>>> [mailto:[hidden email]] Em nome de
>> Rodrigo Rocha
>>>>>>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
>>>>>>> Para: Lista de Discussão sobre OpenBSD
>>>>>>> Assunto: [OpenBSD-PT] PF como filtro de Layer7,
>> tentando bloquear
>>>>>>> o gTalk
>>>>>>>
>>>>>>> Senhores,
>>>>>>>
>>>>>>> estou tentando bloquear o gtalk para a minha rede mas
>> estou tendo
>>>>>>> uma certa dificuldade neste processo.
>>>>>>>
>>>>>>> Minha regra default é
>>>>>>>
>>>>>>> block in all
>>>>>>> block out all
>>>>>>>
>>>>>>> e só libero as portas desejadas.
>>>>>>>
>>>>>>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
>>>> "genérico"
>>>>>>> para vários IMs, neste caso este tipo de bloqueio
>> funciona normal
>>>>>>> mas, quando as máquinas são win com o aplicativo
>> original gtalk
>>>>>>> isso não esta funcionando. Aparentemente o
>>>>>>> gtalk(original) usa a porta 443 para logar o gtalk o que me
>>>>>>> impede de fechá-la pois preciso de outros sites com esta porta.
>>>>>>>
>>>>>>> Alguma idéia ?
>>>>>>>
>>>>>>>
>>>>>>> Rodrigo Maués Rocha
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> OpenBSD mailing list
>>>>>>> [hidden email]
>>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> OpenBSD mailing list
>>>>>> [hidden email]
>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> OpenBSD mailing list
>>>>> [hidden email]
>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>
>>>> _______________________________________________
>>>> OpenBSD mailing list
>>>> [hidden email]
>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>
>>> _______________________________________________
>>> OpenBSD mailing list
>>> [hidden email]
>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Ari Constancio-3
> Você tem como me mandar este arquivo do pf, sem os IPs claro, só
> quero comparar as regras, aqui não funcionou. Esse gtalk parece uma
> das 7 pragas do Egito.

Por sinal, as pragas foram 10 (Êxodo 7-12) :).

Experimenta a regra 'rdr' acima com b.mail.google.com .
Só me parece que 'rdr' (reencaminhamento) não combina com 'pass'
(filtro) - alguém me corrija , por favor.

Ari Constâncio
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Rodrigo Rocha-3
Ari,

Obrigado pela correção com relação as pragas, atualizado no BD.

Bom, com relação ao rdr para mim funciona normalmente com o pass na  
minha regra de nat.

Mas as regras abaixo não tem efeito sobre o gtalk.

rdr pass on $int_int proto tcp from $int_int:network to  
talk.google.com port 443 -> 172.16.1.3 port 445
rdr pass on $int_int proto tcp from $int_int:network to  
b.mail.google.com port 443 -> 172.16.1.3 port 445

O que mudou agora foi que ele demora bem mais e depois loga normalmente.


On 29/06/2007, at 10:36, Ari Constancio wrote:

>> Você tem como me mandar este arquivo do pf, sem os IPs claro, só
>> quero comparar as regras, aqui não funcionou. Esse gtalk parece uma
>> das 7 pragas do Egito.
>
> Por sinal, as pragas foram 10 (Êxodo 7-12) :).
>
> Experimenta a regra 'rdr' acima com b.mail.google.com .
> Só me parece que 'rdr' (reencaminhamento) não combina com 'pass'
> (filtro) - alguém me corrija , por favor.
>
> Ari Constâncio
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Ari Constancio-3
O que mostra o pflog (p.ex. # tcpdump -n -e -ttt -i pflog0 )?

On 6/29/07, Rodrigo Rocha <[hidden email]> wrote:

> Ari,
>
> Obrigado pela correção com relação as pragas, atualizado no BD.
>
> Bom, com relação ao rdr para mim funciona normalmente com o pass na
> minha regra de nat.
>
> Mas as regras abaixo não tem efeito sobre o gtalk.
>
> rdr pass on $int_int proto tcp from $int_int:network to
> talk.google.com port 443 -> 172.16.1.3 port 445
> rdr pass on $int_int proto tcp from $int_int:network to
> b.mail.google.com port 443 -> 172.16.1.3 port 445
>
> O que mudou agora foi que ele demora bem mais e depois loga normalmente.
>
>
> On 29/06/2007, at 10:36, Ari Constancio wrote:
>
> >> Você tem como me mandar este arquivo do pf, sem os IPs claro, só
> >> quero comparar as regras, aqui não funcionou. Esse gtalk parece uma
> >> das 7 pragas do Egito.
> >
> > Por sinal, as pragas foram 10 (Êxodo 7-12) :).
> >
> > Experimenta a regra 'rdr' acima com b.mail.google.com .
> > Só me parece que 'rdr' (reencaminhamento) não combina com 'pass'
> > (filtro) - alguém me corrija , por favor.
> >
> > Ari Constâncio
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

RES: RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

MarcioSepp
In reply to this post by Rodrigo Rocha-3

É exatamente assim que tenho para bloquear o orkut em um cliente.

Agora me atentei para uma outra questão. O msn funciona de forma parecida
com gTalk e o msn foi desenvolvido de tal forma que, se ele não conseguir se
conectar pela porta padrão dele, ele vai tentar outras e até chega a ir pela
porta 80.

Então, para detectar o que está acontecendo vc vai ter de logar todo o
tráfego de saída. Veja tbm os logs do squid.

Por aih vc terá alguma pista sobre o problema e conseguirá bloquear.



Att.
Márcio A. Sepp
 

> -----Mensagem original-----
> De: [hidden email]
> [mailto:[hidden email]] Em nome de Rodrigo Rocha
> Enviada em: sexta-feira, 29 de junho de 2007 11:28
> Para: Lista de Discussão sobre OpenBSD
> Assunto: Re: RES: RES: [OpenBSD-PT] PF como filtro de
> Layer7,tentando bloquear o gTalk
>
> Márcio,
>
> Você tem como me mandar este arquivo do pf, sem os IPs claro,
> só quero comparar as regras, aqui não funcionou. Esse gtalk
> parece uma das 7 pragas do Egito.
>
>
>
>
> On 28/06/2007, at 18:02, Marcio A. Sepp wrote:
>
> >
> > Hum...  Procurei numa máquina que fizemos tempos atrás e
> encontramos
> > uma "gambiarra" assim:
> >
> > # orkut - bloqueio
> > rdr pass on $int_if proto tcp from any to orkut.com port 443 ->
> > 192.168.2.2
> > port 443
> >
> > Onde o ip 192.168.2.2 não responde na porta 443, ou seja, a
> requisição
> > vai dar nele morre por aih.
> >
> > (a minha rede interna no caso acima é 192.168.0.0/24)
> >
> >
> > Acho que isso resolve pra vc. (ao menos por hora até
> encontrar coisa
> > melhor).
> >
> >
> >
> > Att.
> > Márcio A. Sepp
> >
> >
> >> -----Mensagem original-----
> >> De: [hidden email]
> >> [mailto:[hidden email]] Em nome de Rodrigo Rocha
> >> Enviada em: quinta-feira, 28 de junho de 2007 17:34
> >> Para: Lista de Discussão sobre OpenBSD
> >> Assunto: Re: RES: [OpenBSD-PT] PF como filtro de Layer7,tentando
> >> bloquear o gTalk
> >>
> >> Ari,
> >>
> >> Para você funcionou ?
> >>
> >> E o acesso ao gmail ainda continua ? O meu interesse é somente
> >> bloquear o gtalk e continuar com acesso ao gmail.
> >>
> >> Fiz como o Marcio sugeriu mas não funcionou a regra:
> >>
> >> block in on $int_int proto {tcp,udp} from $int_int:network to
> >> talk.google.com port 443
> >>
> >> Parece não ter efeito. O que me intriga é que como a regra
> padrão é:
> >>
> >> block drop log all
> >>
> >> e o gtalk só usa a 443 para autenticar e depois passa a
> usar a 5222,
> >> mesmo liberando acesso 443 to any e não liberando a
> >> 5222 não deveria funcionar, certo!? e para garantir ainda fiz:
> >>
> >> block in on $int_int proto tcp from $int_int:network to
> any port 5222
> >>
> >> Só para garantir.
> >>
> >> Alguma ajuda?!
> >>
> >> Obrigado
> >>
> >> On 28/06/2007, at 14:40, Ari Constancio wrote:
> >>
> >>> Olá,
> >>>
> >>> Bloquear b.mail.google.com resulta (no meu caso com Squid),
> >> mesmo sem
> >>> bloquear chatenabled.mail.google.com .
> >>>
> >>> Ari Constâncio
> >>>
> >>> On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
> >>>> Marcio,
> >>>>
> >>>> Resolveria se eu usasse um DNS interno, dai teria como
> >> redirecionar
> >>>> as requisições mas aqui uso DNS externo que não esta sob minha
> >>>> responsabilidade.
> >>>>
> >>>>
> >>>>
> >>>> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
> >>>>
> >>>>> Não resolve??
> >>>>> http://mail.google.com/support/bin/answer.py?answer=34330
> >>>>>
> >>>>> Marcio A. Sepp escreveu:
> >>>>>>
> >>>>>> Vc pode localizar o servidor que ele está buscando no
> >> momento da
> >>>>>> autenticacão. E fazer um block para ele. Por exemplo:
> >>>>>>
> >>>>>> Block in quick on $int_if from any to
> >> <nome_completo_do_servidor>
> >>>>>> port 443
> >>>>>>
> >>>>>>
> >>>>>> Se fizer isso, não esqueça de ativar seu firewall na mão no
> >>>> arquivo
> >>>>>> /etc/rc.local. Pois se deixar ele automático ele não
> >> vai conseguir
> >>>>>> resolver o endereco quando a máquina subir.
> >>>>>>
> >>>>>>
> >>>>>> Att.
> >>>>>> Márcio A. Sepp
> >>>>>>
> >>>>>>
> >>>>>>> -----Mensagem original-----
> >>>>>>> De: [hidden email]
> >>>>>>> [mailto:[hidden email]] Em nome de
> >> Rodrigo Rocha
> >>>>>>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
> >>>>>>> Para: Lista de Discussão sobre OpenBSD
> >>>>>>> Assunto: [OpenBSD-PT] PF como filtro de Layer7,
> >> tentando bloquear
> >>>>>>> o gTalk
> >>>>>>>
> >>>>>>> Senhores,
> >>>>>>>
> >>>>>>> estou tentando bloquear o gtalk para a minha rede mas
> >> estou tendo
> >>>>>>> uma certa dificuldade neste processo.
> >>>>>>>
> >>>>>>> Minha regra default é
> >>>>>>>
> >>>>>>> block in all
> >>>>>>> block out all
> >>>>>>>
> >>>>>>> e só libero as portas desejadas.
> >>>>>>>
> >>>>>>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
> >>>> "genérico"
> >>>>>>> para vários IMs, neste caso este tipo de bloqueio
> >> funciona normal
> >>>>>>> mas, quando as máquinas são win com o aplicativo
> >> original gtalk
> >>>>>>> isso não esta funcionando. Aparentemente o
> >>>>>>> gtalk(original) usa a porta 443 para logar o gtalk o que me
> >>>>>>> impede de fechá-la pois preciso de outros sites com
> esta porta.
> >>>>>>>
> >>>>>>> Alguma idéia ?
> >>>>>>>
> >>>>>>>
> >>>>>>> Rodrigo Maués Rocha
> >>>>>>>
> >>>>>>> _______________________________________________
> >>>>>>> OpenBSD mailing list
> >>>>>>> [hidden email]
> >>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> OpenBSD mailing list
> >>>>>> [hidden email]
> >>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>>>>>
> >>>>>
> >>>>>
> >>>>> _______________________________________________
> >>>>> OpenBSD mailing list
> >>>>> [hidden email]
> >>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>>>
> >>>> _______________________________________________
> >>>> OpenBSD mailing list
> >>>> [hidden email]
> >>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>>>
> >>> _______________________________________________
> >>> OpenBSD mailing list
> >>> [hidden email]
> >>> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>
> >> _______________________________________________
> >> OpenBSD mailing list
> >> [hidden email]
> >> http://neei.uevora.pt/mailman/listinfo/openbsd
> >>
> >
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Rodrigo Rocha-3
Márcio,

Problema aparentemente resoolvido.

Solução


O gtalk busca se conectar  com servidores (3 basicamente) com sufixo  
diferentes.

    mg-in-f125.google.com
    po-in-f125.google.com
    el-in-f125.google.com

Depois de observar com o tcpdump as conexões, pude determinar que  
estes são os básicos, pelo menos até agora depois de fechar e tentar  
durante 30 vezes todas foram para os três servidores na porta 443

Assim, o redirecionamento destes servidores para uma máquina que não  
responde 443 resolver este problema.

Assim ficaram as minhas regras.

gt= "{
    mg-in-f125.google.com
    po-in-f125.google.com
    el-in-f125.google.com
    }"

rdr pass on $int_int proto { udp, tcp } from $int_int:network to $gt  
port 443 -> 172.16.1.3 port 445

Até agora, sem conexão novamente.

No entanto, ele também busca por outros servidores com as mesmas  
características.

kc-in-f125.google.com

Mas desta vez buscanso a porta 5222 então,

block in on $int_int proto tcp from $int_int:network to any port 5222

Esta regra se faz necessária.

Como falei antes, até agora, depois de todas as tentativas ainda não  
concegui conectar de uma máquina que tem o gtalk instalado, mas  
continuo com os testes.

Mas, mesmo assim, muito obrigado a todos.


On 29/06/2007, at 14:06, Marcio A. Sepp wrote:

>
> É exatamente assim que tenho para bloquear o orkut em um cliente.
>
> Agora me atentei para uma outra questão. O msn funciona de forma  
> parecida
> com gTalk e o msn foi desenvolvido de tal forma que, se ele não  
> conseguir se
> conectar pela porta padrão dele, ele vai tentar outras e até chega  
> a ir pela
> porta 80.
>
> Então, para detectar o que está acontecendo vc vai ter de logar todo o
> tráfego de saída. Veja tbm os logs do squid.
>
> Por aih vc terá alguma pista sobre o problema e conseguirá bloquear.
>
>
>
> Att.
> Márcio A. Sepp
>
>
>> -----Mensagem original-----
>> De: [hidden email]
>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>> Enviada em: sexta-feira, 29 de junho de 2007 11:28
>> Para: Lista de Discussão sobre OpenBSD
>> Assunto: Re: RES: RES: [OpenBSD-PT] PF como filtro de
>> Layer7,tentando bloquear o gTalk
>>
>> Márcio,
>>
>> Você tem como me mandar este arquivo do pf, sem os IPs claro,
>> só quero comparar as regras, aqui não funcionou. Esse gtalk
>> parece uma das 7 pragas do Egito.
>>
>>
>>
>>
>> On 28/06/2007, at 18:02, Marcio A. Sepp wrote:
>>
>>>
>>> Hum...  Procurei numa máquina que fizemos tempos atrás e
>> encontramos
>>> uma "gambiarra" assim:
>>>
>>> # orkut - bloqueio
>>> rdr pass on $int_if proto tcp from any to orkut.com port 443 ->
>>> 192.168.2.2
>>> port 443
>>>
>>> Onde o ip 192.168.2.2 não responde na porta 443, ou seja, a
>> requisição
>>> vai dar nele morre por aih.
>>>
>>> (a minha rede interna no caso acima é 192.168.0.0/24)
>>>
>>>
>>> Acho que isso resolve pra vc. (ao menos por hora até
>> encontrar coisa
>>> melhor).
>>>
>>>
>>>
>>> Att.
>>> Márcio A. Sepp
>>>
>>>
>>>> -----Mensagem original-----
>>>> De: [hidden email]
>>>> [mailto:[hidden email]] Em nome de Rodrigo Rocha
>>>> Enviada em: quinta-feira, 28 de junho de 2007 17:34
>>>> Para: Lista de Discussão sobre OpenBSD
>>>> Assunto: Re: RES: [OpenBSD-PT] PF como filtro de Layer7,tentando
>>>> bloquear o gTalk
>>>>
>>>> Ari,
>>>>
>>>> Para você funcionou ?
>>>>
>>>> E o acesso ao gmail ainda continua ? O meu interesse é somente
>>>> bloquear o gtalk e continuar com acesso ao gmail.
>>>>
>>>> Fiz como o Marcio sugeriu mas não funcionou a regra:
>>>>
>>>> block in on $int_int proto {tcp,udp} from $int_int:network to
>>>> talk.google.com port 443
>>>>
>>>> Parece não ter efeito. O que me intriga é que como a regra
>> padrão é:
>>>>
>>>> block drop log all
>>>>
>>>> e o gtalk só usa a 443 para autenticar e depois passa a
>> usar a 5222,
>>>> mesmo liberando acesso 443 to any e não liberando a
>>>> 5222 não deveria funcionar, certo!? e para garantir ainda fiz:
>>>>
>>>> block in on $int_int proto tcp from $int_int:network to
>> any port 5222
>>>>
>>>> Só para garantir.
>>>>
>>>> Alguma ajuda?!
>>>>
>>>> Obrigado
>>>>
>>>> On 28/06/2007, at 14:40, Ari Constancio wrote:
>>>>
>>>>> Olá,
>>>>>
>>>>> Bloquear b.mail.google.com resulta (no meu caso com Squid),
>>>> mesmo sem
>>>>> bloquear chatenabled.mail.google.com .
>>>>>
>>>>> Ari Constâncio
>>>>>
>>>>> On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
>>>>>> Marcio,
>>>>>>
>>>>>> Resolveria se eu usasse um DNS interno, dai teria como
>>>> redirecionar
>>>>>> as requisições mas aqui uso DNS externo que não esta sob minha
>>>>>> responsabilidade.
>>>>>>
>>>>>>
>>>>>>
>>>>>> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
>>>>>>
>>>>>>> Não resolve??
>>>>>>> http://mail.google.com/support/bin/answer.py?answer=34330
>>>>>>>
>>>>>>> Marcio A. Sepp escreveu:
>>>>>>>>
>>>>>>>> Vc pode localizar o servidor que ele está buscando no
>>>> momento da
>>>>>>>> autenticacão. E fazer um block para ele. Por exemplo:
>>>>>>>>
>>>>>>>> Block in quick on $int_if from any to
>>>> <nome_completo_do_servidor>
>>>>>>>> port 443
>>>>>>>>
>>>>>>>>
>>>>>>>> Se fizer isso, não esqueça de ativar seu firewall na mão no
>>>>>> arquivo
>>>>>>>> /etc/rc.local. Pois se deixar ele automático ele não
>>>> vai conseguir
>>>>>>>> resolver o endereco quando a máquina subir.
>>>>>>>>
>>>>>>>>
>>>>>>>> Att.
>>>>>>>> Márcio A. Sepp
>>>>>>>>
>>>>>>>>
>>>>>>>>> -----Mensagem original-----
>>>>>>>>> De: [hidden email]
>>>>>>>>> [mailto:[hidden email]] Em nome de
>>>> Rodrigo Rocha
>>>>>>>>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
>>>>>>>>> Para: Lista de Discussão sobre OpenBSD
>>>>>>>>> Assunto: [OpenBSD-PT] PF como filtro de Layer7,
>>>> tentando bloquear
>>>>>>>>> o gTalk
>>>>>>>>>
>>>>>>>>> Senhores,
>>>>>>>>>
>>>>>>>>> estou tentando bloquear o gtalk para a minha rede mas
>>>> estou tendo
>>>>>>>>> uma certa dificuldade neste processo.
>>>>>>>>>
>>>>>>>>> Minha regra default é
>>>>>>>>>
>>>>>>>>> block in all
>>>>>>>>> block out all
>>>>>>>>>
>>>>>>>>> e só libero as portas desejadas.
>>>>>>>>>
>>>>>>>>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
>>>>>> "genérico"
>>>>>>>>> para vários IMs, neste caso este tipo de bloqueio
>>>> funciona normal
>>>>>>>>> mas, quando as máquinas são win com o aplicativo
>>>> original gtalk
>>>>>>>>> isso não esta funcionando. Aparentemente o
>>>>>>>>> gtalk(original) usa a porta 443 para logar o gtalk o que me
>>>>>>>>> impede de fechá-la pois preciso de outros sites com
>> esta porta.
>>>>>>>>>
>>>>>>>>> Alguma idéia ?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Rodrigo Maués Rocha
>>>>>>>>>
>>>>>>>>> _______________________________________________
>>>>>>>>> OpenBSD mailing list
>>>>>>>>> [hidden email]
>>>>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>>>>>>
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> OpenBSD mailing list
>>>>>>>> [hidden email]
>>>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> OpenBSD mailing list
>>>>>>> [hidden email]
>>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>>>
>>>>>> _______________________________________________
>>>>>> OpenBSD mailing list
>>>>>> [hidden email]
>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>>>
>>>>> _______________________________________________
>>>>> OpenBSD mailing list
>>>>> [hidden email]
>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>
>>>> _______________________________________________
>>>> OpenBSD mailing list
>>>> [hidden email]
>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>>>
>>>
>>> _______________________________________________
>>> OpenBSD mailing list
>>> [hidden email]
>>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: PF como filtro de Layer7, tentando bloquear o gTalk

Joao Barros
In reply to this post by MarcioSepp
Devias ver um sniff do antigo ICQ a ligar-se. Além das portas ICQ,
tentava mais e só assim de cabeça: 21,22,80,443, 3128, 8080

On 6/29/07, Marcio A. Sepp <[hidden email]> wrote:

>
> É exatamente assim que tenho para bloquear o orkut em um cliente.
>
> Agora me atentei para uma outra questão. O msn funciona de forma parecida
> com gTalk e o msn foi desenvolvido de tal forma que, se ele não conseguir se
> conectar pela porta padrão dele, ele vai tentar outras e até chega a ir pela
> porta 80.
>
> Então, para detectar o que está acontecendo vc vai ter de logar todo o
> tráfego de saída. Veja tbm os logs do squid.
>
> Por aih vc terá alguma pista sobre o problema e conseguirá bloquear.
>
>
>
> Att.
> Márcio A. Sepp
>
>
> > -----Mensagem original-----
> > De: [hidden email]
> > [mailto:[hidden email]] Em nome de Rodrigo Rocha
> > Enviada em: sexta-feira, 29 de junho de 2007 11:28
> > Para: Lista de Discussão sobre OpenBSD
> > Assunto: Re: RES: RES: [OpenBSD-PT] PF como filtro de
> > Layer7,tentando bloquear o gTalk
> >
> > Márcio,
> >
> > Você tem como me mandar este arquivo do pf, sem os IPs claro,
> > só quero comparar as regras, aqui não funcionou. Esse gtalk
> > parece uma das 7 pragas do Egito.
> >
> >
> >
> >
> > On 28/06/2007, at 18:02, Marcio A. Sepp wrote:
> >
> > >
> > > Hum...  Procurei numa máquina que fizemos tempos atrás e
> > encontramos
> > > uma "gambiarra" assim:
> > >
> > > # orkut - bloqueio
> > > rdr pass on $int_if proto tcp from any to orkut.com port 443 ->
> > > 192.168.2.2
> > > port 443
> > >
> > > Onde o ip 192.168.2.2 não responde na porta 443, ou seja, a
> > requisição
> > > vai dar nele morre por aih.
> > >
> > > (a minha rede interna no caso acima é 192.168.0.0/24)
> > >
> > >
> > > Acho que isso resolve pra vc. (ao menos por hora até
> > encontrar coisa
> > > melhor).
> > >
> > >
> > >
> > > Att.
> > > Márcio A. Sepp
> > >
> > >
> > >> -----Mensagem original-----
> > >> De: [hidden email]
> > >> [mailto:[hidden email]] Em nome de Rodrigo Rocha
> > >> Enviada em: quinta-feira, 28 de junho de 2007 17:34
> > >> Para: Lista de Discussão sobre OpenBSD
> > >> Assunto: Re: RES: [OpenBSD-PT] PF como filtro de Layer7,tentando
> > >> bloquear o gTalk
> > >>
> > >> Ari,
> > >>
> > >> Para você funcionou ?
> > >>
> > >> E o acesso ao gmail ainda continua ? O meu interesse é somente
> > >> bloquear o gtalk e continuar com acesso ao gmail.
> > >>
> > >> Fiz como o Marcio sugeriu mas não funcionou a regra:
> > >>
> > >> block in on $int_int proto {tcp,udp} from $int_int:network to
> > >> talk.google.com port 443
> > >>
> > >> Parece não ter efeito. O que me intriga é que como a regra
> > padrão é:
> > >>
> > >> block drop log all
> > >>
> > >> e o gtalk só usa a 443 para autenticar e depois passa a
> > usar a 5222,
> > >> mesmo liberando acesso 443 to any e não liberando a
> > >> 5222 não deveria funcionar, certo!? e para garantir ainda fiz:
> > >>
> > >> block in on $int_int proto tcp from $int_int:network to
> > any port 5222
> > >>
> > >> Só para garantir.
> > >>
> > >> Alguma ajuda?!
> > >>
> > >> Obrigado
> > >>
> > >> On 28/06/2007, at 14:40, Ari Constancio wrote:
> > >>
> > >>> Olá,
> > >>>
> > >>> Bloquear b.mail.google.com resulta (no meu caso com Squid),
> > >> mesmo sem
> > >>> bloquear chatenabled.mail.google.com .
> > >>>
> > >>> Ari Constâncio
> > >>>
> > >>> On 6/28/07, Rodrigo Rocha <[hidden email]> wrote:
> > >>>> Marcio,
> > >>>>
> > >>>> Resolveria se eu usasse um DNS interno, dai teria como
> > >> redirecionar
> > >>>> as requisições mas aqui uso DNS externo que não esta sob minha
> > >>>> responsabilidade.
> > >>>>
> > >>>>
> > >>>>
> > >>>> On 28/06/2007, at 12:10, Giancarlo Rubio wrote:
> > >>>>
> > >>>>> Não resolve??
> > >>>>> http://mail.google.com/support/bin/answer.py?answer=34330
> > >>>>>
> > >>>>> Marcio A. Sepp escreveu:
> > >>>>>>
> > >>>>>> Vc pode localizar o servidor que ele está buscando no
> > >> momento da
> > >>>>>> autenticacão. E fazer um block para ele. Por exemplo:
> > >>>>>>
> > >>>>>> Block in quick on $int_if from any to
> > >> <nome_completo_do_servidor>
> > >>>>>> port 443
> > >>>>>>
> > >>>>>>
> > >>>>>> Se fizer isso, não esqueça de ativar seu firewall na mão no
> > >>>> arquivo
> > >>>>>> /etc/rc.local. Pois se deixar ele automático ele não
> > >> vai conseguir
> > >>>>>> resolver o endereco quando a máquina subir.
> > >>>>>>
> > >>>>>>
> > >>>>>> Att.
> > >>>>>> Márcio A. Sepp
> > >>>>>>
> > >>>>>>
> > >>>>>>> -----Mensagem original-----
> > >>>>>>> De: [hidden email]
> > >>>>>>> [mailto:[hidden email]] Em nome de
> > >> Rodrigo Rocha
> > >>>>>>> Enviada em: quarta-feira, 27 de junho de 2007 12:16
> > >>>>>>> Para: Lista de Discussão sobre OpenBSD
> > >>>>>>> Assunto: [OpenBSD-PT] PF como filtro de Layer7,
> > >> tentando bloquear
> > >>>>>>> o gTalk
> > >>>>>>>
> > >>>>>>> Senhores,
> > >>>>>>>
> > >>>>>>> estou tentando bloquear o gtalk para a minha rede mas
> > >> estou tendo
> > >>>>>>> uma certa dificuldade neste processo.
> > >>>>>>>
> > >>>>>>> Minha regra default é
> > >>>>>>>
> > >>>>>>> block in all
> > >>>>>>> block out all
> > >>>>>>>
> > >>>>>>> e só libero as portas desejadas.
> > >>>>>>>
> > >>>>>>> Minha máquina é um Mac OS X e uso o aplicativo adium, um
> > >>>> "genérico"
> > >>>>>>> para vários IMs, neste caso este tipo de bloqueio
> > >> funciona normal
> > >>>>>>> mas, quando as máquinas são win com o aplicativo
> > >> original gtalk
> > >>>>>>> isso não esta funcionando. Aparentemente o
> > >>>>>>> gtalk(original) usa a porta 443 para logar o gtalk o que me
> > >>>>>>> impede de fechá-la pois preciso de outros sites com
> > esta porta.
> > >>>>>>>
> > >>>>>>> Alguma idéia ?
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> Rodrigo Maués Rocha
> > >>>>>>>
> > >>>>>>> _______________________________________________
> > >>>>>>> OpenBSD mailing list
> > >>>>>>> [hidden email]
> > >>>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>>>>>>
> > >>>>>>
> > >>>>>> _______________________________________________
> > >>>>>> OpenBSD mailing list
> > >>>>>> [hidden email]
> > >>>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>>>>>
> > >>>>>
> > >>>>>
> > >>>>> _______________________________________________
> > >>>>> OpenBSD mailing list
> > >>>>> [hidden email]
> > >>>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>>>
> > >>>> _______________________________________________
> > >>>> OpenBSD mailing list
> > >>>> [hidden email]
> > >>>> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>>>
> > >>> _______________________________________________
> > >>> OpenBSD mailing list
> > >>> [hidden email]
> > >>> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>
> > >> _______________________________________________
> > >> OpenBSD mailing list
> > >> [hidden email]
> > >> http://neei.uevora.pt/mailman/listinfo/openbsd
> > >>
> > >
> > > _______________________________________________
> > > OpenBSD mailing list
> > > [hidden email]
> > > http://neei.uevora.pt/mailman/listinfo/openbsd
> >
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
> >
>
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>


--
Joao Barros
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd