Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

utilizzare solo GMAIL

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Mer Mar 02, 2011 3:10 pm    Oggetto: utilizzare solo GMAIL Rispondi citando

Salve a tutti,
vorrei creare una regola nel firewall che impedisca la completa navigazione di un indirizzo ip verso internet ma che peró permetta l'utilizzo del servizio di posta di gmail via web.

ho provato a creare la regola che permette tutto il traffico verso l' indirizzo ip pubblico di gmail.com ma non basta a far funzionare il tutto.

Grazie
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
wyatt376



Registrato: 01/10/09 13:39
Messaggi: 84

MessaggioInviato: Gio Mar 03, 2011 9:04 am    Oggetto: Rispondi citando

ciao charneval,

in questo posto verso la fine ci sono le regole per bloccare facebook, e solo facebook...

http://www.zeroshell.net/forum/viewtopic.php?t=2714&highlight=


con una politica della catena di forward a DROP e delle regole sulla rete di gmail con politica ACCEPT dovrebbe funzionare...
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Gio Mar 03, 2011 9:27 am    Oggetto: Rispondi citando

grazie mille per il consiglio, ed é stato interessante seguire il post per bloccare facebook.
Il problema é capire quale é il range di ip che utilizza gmail, visto che facendo passare solo alcuni ip ricavati con il comando (ping www.gmail.com) non sono riuscito ad arrivare alla soluzione.

io avrei questi ip 74.125.232.149 ; 74.125.77.121 come subnet quale mi consigli di usare?


Grazie
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
wyatt376



Registrato: 01/10/09 13:39
Messaggi: 84

MessaggioInviato: Gio Mar 03, 2011 4:41 pm    Oggetto: Rispondi citando

come avrai visto per facebook avevo 3 reti con subnet mask impostata a 20 (/20).
Per gmail non so, ho provato anche io a fare un ping, ma mi da un indirizzo totalmente diverso da quello che mi hai dato te...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Gio Mar 03, 2011 7:55 pm    Oggetto: Rispondi citando

Ciao , prova con nslookup www.gmail.com
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Ven Mar 04, 2011 3:23 pm    Oggetto: Rispondi citando

Chain FORWARD (policy ACCEPT 1952 packets, 698K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.36 0.0.0.0/0 destination IP range 74.125.43.1-74.125.43.250
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.36 84.19.190.13
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.44 0.0.0.0/0 destination IP range 74.125.43.1-74.125.43.250
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.44 84.19.190.13
0 0 DROP all -- ETH00 ETH01 192.168.0.44 0.0.0.0/0
72 3456 DROP all -- ETH00 ETH01 192.168.0.36 0.0.0.0/0


Hoi creato queste regole ma ancora non riesco a sbloccare la navigazione verso gmail e la webmail aziendale gestita sempre da gmail con indirizzo : mail.acquasrl.com

Dove sbaglio? Sono solo due indirizzi ip ai quali devo escludere la navigazione e lasciarli andare verso il servizio web di posta di gmail.

Devo inserire altre regole nella catena di forward? Oppure é un problema di ip utilizzati da gmail? In pratica ho fatto come consigliato e ho cercato gli indirizzi che mi rilascia nslookup ma forse ancora manca qualche cosa.

grazie
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Ven Mar 04, 2011 3:33 pm    Oggetto: Rispondi citando

Ciao charneval ,qui si vedono solo pacchetti droppati
Codice:
72 3456 DROP all -- ETH00 ETH01 192.168.0.36 0.0.0.0/0

ma comunque non vedo le regole che permettono il ritorno da ETH01 a ETH00 dei pacchetti permessi
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Ven Mar 04, 2011 3:41 pm    Oggetto: Rispondi citando

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.36 0.0.0.0/0 destination IP range 74.125.43.1-74.125.43.250
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.36 84.19.190.13
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.44 0.0.0.0/0 destination IP range 74.125.43.1-74.125.43.250
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.44 84.19.190.13
0 0 ACCEPT all -- ETH01 ETH00 0.0.0.0/0 192.168.0.44
0 0 ACCEPT all -- ETH01 ETH00 0.0.0.0/0 192.168.0.36
0 0 DROP all -- ETH00 ETH01 192.168.0.44 0.0.0.0/0
0 0 DROP all -- ETH00 ETH01 192.168.0.36 0.0.0.0/0


e cosķ peró dovrebbe funzionare?
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Ven Mar 04, 2011 3:46 pm    Oggetto: Rispondi citando

Dovrebbe, ma visto che hai specificato i range di destination ip in uscita perche non li usi anche come source range ip per il ritorno ?? Wink
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Ven Mar 04, 2011 9:58 pm    Oggetto: Rispondi citando

giusta osservazione, ma io credo di sbagliare questo benedetto range di gmail. Anche con questa ultima configurazione il firewall non mi permette nessuna navigazione, secondo te dovrei usare DansGuardian? Oppure mi inoltrerei in una configurazione ancora piś complicata?

Ho usato http://www.kloth.net/services/nslookup.php per arrivare agli ip di gmail che mi interessano ma non capisco dove sbaglio nella config del fw.

Ciao Andrea
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Ven Mar 04, 2011 10:07 pm    Oggetto: Rispondi citando

da macchina windows , cmd , nslookup , invio , www.gmail.com , invio , gmail.com , invio . direttamente da ZS , crei un job al volo (poi non lo abiliti ) con
Codice:
nslookup www.gmail.com

questo č quello che ha appena restituito ZS

Codice:
Server:      127.0.0.1
Address:   127.0.0.1#53

Non-authoritative answer:
www.gmail.com   canonical name = mail.google.com.
mail.google.com   canonical name = googlemail.l.google.com.
Name:   googlemail.l.google.com
Address: 74.125.232.151
Name:   googlemail.l.google.com
Address: 74.125.232.152
Name:   googlemail.l.google.com
Address: 74.125.232.149
Name:   googlemail.l.google.com
Address: 74.125.232.150


[Cron nslookup]: SUCCESS

se guardi nei log del firewall , comunque dovresti vedere i pacchetti droppati con ip source 192.168.0.36 e 192.168.0.44 .
ciao jonatha
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Ven Mar 04, 2011 10:42 pm    Oggetto: Rispondi citando

grazie della risposta ma pensavo, se abilito http proxy e creo due regole di cattura per gli ip interessati? Poi vado nelle regole di white list inserendo il sito www.gmail.com e nella black list potrei creare una regola che blocca tutti i siti? Credo che la white list abbia predominanza rispetto alla black list quindi il proxy lascerebbe transitare tutto quello della lista.

Ma come faccio capire alla lista Black list di bloccare tutto?

Credo che non sia la soluzione corretta ma pensavo fosse un alternativa.

CMQ voglio verificare i log del fw e ti terró aggiornato.


GRAZIE
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Lun Mar 07, 2011 4:21 pm    Oggetto: Rispondi citando

Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
mail.acquasrl.com canonical name = ghs.google.com.
ghs.google.com canonical name = ghs.l.google.com.
Name: ghs.l.google.com
Address: 74.125.77.121


[Post Boot]: SUCCESS

Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
www.gmail.com canonical name = mail.google.com.
mail.google.com canonical name = googlemail.l.google.com.
Name: googlemail.l.google.com
Address: 209.85.147.83
Name: googlemail.l.google.com
Address: 209.85.147.17
Name: googlemail.l.google.com
Address: 209.85.147.18
Name: googlemail.l.google.com
Address: 209.85.147.19


[Post Boot]: SUCCESS


queste sono le risposte del server ZS.
Quindi io se nelle regole di Forward vado ad inserire questi ip e poi dico che tutto il traffico di ritorno dai seguenti ip é consentito dovrei riuscire a consentire solo il traffico di mail.acquasrl.com e www.gmail.com

E' corretto???

Grazie
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Lun Mar 07, 2011 4:55 pm    Oggetto: Rispondi citando

REGOLE DEL FIREWALL...


Chain FORWARD (policy ACCEPT 3233 packets, 1358K bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- ETH00 ETH01 192.168.0.36 74.125.77.0/24 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/001'
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.36 74.125.77.0/24
0 0 LOG all -- ETH00 ETH01 192.168.0.36 209.85.147.0/24 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/002'
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.36 209.85.147.0/24
0 0 LOG all -- ETH00 ETH01 192.168.0.44 74.125.77.0/24 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/003'
0 0 ACCEPT all -- ETH00 ETH01 192.168.0.44 74.125.77.0/24
103 41125 LOG all -- ETH00 ETH01 192.168.0.44 209.85.147.0/24 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/004'
107 41466 ACCEPT all -- ETH00 ETH01 192.168.0.44 209.85.147.0/24
106 19485 LOG all -- ETH01 ETH00 0.0.0.0/0 192.168.0.44 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/005'
117 27331 ACCEPT all -- ETH01 ETH00 0.0.0.0/0 192.168.0.44
0 0 LOG all -- ETH01 ETH00 0.0.0.0/0 192.168.0.36 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/006'
0 0 ACCEPT all -- ETH01 ETH00 0.0.0.0/0 192.168.0.36
0 0 LOG all -- ETH00 ETH01 192.168.0.44 0.0.0.0/0 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/007'
0 0 DROP all -- ETH00 ETH01 192.168.0.44 0.0.0.0/0
0 0 LOG all -- ETH00 ETH01 192.168.0.36 0.0.0.0/0 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/008'
0 0 DROP all -- ETH00 ETH01 192.168.0.36 0.0.0.0/0
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it