Bolqueo de microsoft (msn y hotmail) y problemas con gmail no deseados



  • Estimados:

    he bloqueado el acceso a los servicios de Microsoft utilizando el método de Bellera.
    Primero:
    cree un alias llamado Microsoft donde incluyo los rangos de IP de Microsoft que son 207.46.0.0/16 64.4.0.0/18

    Segundo:
    cree un alias llamado IPRestrictas para las direcciones IPs que asigno por DHCP de las maquinas que no deseo que usen los servicios de microsoft

    Tercero:
    cree una Regla en LAN llamada MicrosoftBLK que bloquea el destino con alias Microsoft al alias IPRestrictas

    Bien, hasta acá seguía funcionando el msn, hasta que desactive la primer Regla que dice Default-> any

    Es en este momento donde la regla que cree (MicrosoftBLK) comenzó a funcionar perfectamente.

    Perooo… para mi sorpresa, me dejo de funcionar el acceso al servicio de gmail (mail.google.com)

    Si activo la Regla en LAN llamada Default -> any, puedo acceder a gmail perfectamente.

    Lo que creo que tengo que hacer es definir un alias para las direcciones IP de mail.google.com pero no se como hacerlo.

    Si alguien tiene idea de como lo puedo hacer, le agradezco su colaboración de antemano.

    Muchas gracias

    Luciano



  • Luciano,

    El orden de las reglas es importante. Pon la default al final.

    Las reglas se ejecutan de la primera hacia la siguiente. Cuando encuentra una que se cumple deja de ejecutarse el resto.

    Tener default al final significa que todo lo que no sea tu bloqueo de Microsoft estará permitido.

    Para encontrar los rangos (caso que lo necesitaras en el futuro):

    1. nslookup mail.google.com

    2. Ir con las direcciones obtenidas a http://www.arin.net/whois/
    Ahí obtendrás el tramo si depende de ARIN y en caso contrario te darán la URL de quién depende (con lo que tendrás que repetir la consulta en la URL dada).

    Nota: A veces obtener el rango de IPs no es evidente porque si están usando servicios alquilados a terceros obtienes el rango para todo el proveedor de servicios. En este caso hay que tomar la decisión de qué es más importante. Si cortar todo el proveedor de servicios o dejar pasar. Pero este no es el caso para mail.google.com

    Saludos,

    Josep Pujadas



  • Estimado Bellera:

    seguí tus instrucciones y he logrado habilitar los sitios, sobre todo los que utilizan https (puerto 443)

    aunque te comento que estoy pensando en utilizar squid para realizar estas restricciones.

    Voy a virtualizar pfsense y hacer las pruebas correspondientes antes de llevarlas a producción

    Ahora estoy renegando con vlans, seguramente después vendrá la consulta.

    Muchas gracias

    Saludos

    Luciano Giovannini


Locked