Re: Problemas no agendamento da CRON
On 2/8/07, Maxwillian Miorim <miorimmax@gmail.com> wrote:
On 2/8/07, Leandro Moreira <leandro@leandromoreira.eti.br> wrote:
> iptables -v -I FORWARD -d www.orkut.com -p tcp --dport 443 -j ACCEPT
Faz um "dig @servidor_dns www.orkut.com" e tu vai ver que são pelo
menos quatro as respostas, se o teu bloquio baseia-se somente nisso
ele pode não funcionar pois um usuário que descobre o IP que não está
bloqueado navega sem problemas.
Saída do dig aqui (só com os answers):
;; ANSWER SECTION:
www.orkut.com. 291 IN CNAME orkut-bf.l.google.com.
orkut-bf.l.google.com. 1683 IN A 72.14.209.85
orkut-bf.l.google.com. 1683 IN A 72.14.209.86
orkut-bf.l.google.com. 1683 IN A 72.14.209.87
orkut-bf.l.google.com. 1683 IN A 72.14.209.94
Esqueci de explicar o porque disso :)
Quando usa um nome para criar a regra no iptables a ação tomada é:
resolver o nome e colocar o endereço ip para o mesmo na regra.
Acontece que em casos como o do orkut e muitos websites há um
balanceamento de carga por DNS, onde há várias entradas com IPs
diferentes mas o mesmo hostname. Utilizar 4 vezes a mesma regra aqui
nao funcionaria, provavelmente todas seriam referentes ao primeiro
endereço, a melhor forma é fazer consultas esporádicas ao DNS de
tempos em tempos para fazer esse bloqueio no iptables ou usar
controles de filtros no squid, squidguard, dansguardian, squirm e etc.
--
Maxwillian Miorim <miorimmax@gmail.com>
----
Have you mooed today?
Reply to: