[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problemas no agendamento da CRON

On 2/8/07, Maxwillian Miorim <miorimmax@gmail.com> wrote:

On 2/8/07, Leandro Moreira <leandro@leandromoreira.eti.br> wrote:
> iptables -v -I FORWARD -d www.orkut.com -p tcp --dport 443 -j ACCEPT
Faz um "dig @servidor_dns www.orkut.com" e tu vai ver que são pelo
menos quatro as respostas, se o teu bloquio baseia-se somente nisso
ele pode não funcionar pois um usuário que descobre o IP que não está
bloqueado navega sem problemas.

Saída do dig aqui (só com os answers):
;; ANSWER SECTION:
www.orkut.com.          291     IN      CNAME   orkut-bf.l.google.com.
orkut-bf.l.google.com.  1683    IN      A       72.14.209.85
orkut-bf.l.google.com.  1683    IN      A       72.14.209.86
orkut-bf.l.google.com.  1683    IN      A       72.14.209.87
orkut-bf.l.google.com.  1683    IN      A       72.14.209.94

Esqueci de explicar o porque disso :)

Quando usa um nome para criar a regra no iptables a ação tomada é:
resolver o nome e colocar o endereço ip para o mesmo na regra.

Acontece que em casos como o do orkut e muitos websites há um
balanceamento de carga por DNS, onde há várias entradas com IPs
diferentes mas o mesmo hostname. Utilizar 4 vezes a mesma regra aqui
nao funcionaria, provavelmente todas seriam referentes ao primeiro
endereço, a melhor forma é fazer consultas esporádicas ao DNS de
tempos em tempos para fazer esse bloqueio no iptables ou usar
controles de filtros no squid, squidguard, dansguardian, squirm e etc.


--
Maxwillian Miorim <miorimmax@gmail.com>
----
Have you mooed today?
Reply to: