作者lu760423 (脑袋烂掉了)
看板MIS
标题[请益] SSG-140 Block Facebook
时间Thu Oct 22 15:58:16 2015
公司一直以来都用DNS阻挡Facebook,今天有需求某同是特例开放!
原先想说用SSG-140来阻挡,尝试了一下...
http://www.pchome.com.tw
https://tw.yahoo.com
主要是测试一般80port和443port是否能阻挡,结果是ok的!
在Address List中的Domain name分别是
pchome.com.tw以及tw.yahoo.com
这样都可以没有问题! 接下来实上Facebook!
Domain name: Facebook.com.tw
怎麽样设定都全体pass...换一个
Domain name: www.facebook.com.tw
一样!!!还是全体pass...
表示我连基本全体阻挡都无法做到T.T...
各位先近是否针对facebook真的无法阻挡?
大感恩...
感谢deadwood大
最一开始状况在ssg上dns指向分别是168.95.1.1、8.8.8.8
clinet则是永远指向内部dns
此时ssg解析到
facebook Domain:www.facebook.com dsn解析:31.13.70.1
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:31.13.87.1
但如果用clinet、内部dns server去ping均会得到
facebook Domain:www.facebook.com dsn解析:173.252.88.66
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:173.252.88.66
在设定上就变成无法正确解析,尽管设了policy仍旧可以pass
最後在deadwood大的点醒...
将ssg的dns带一组内部dns server,此时ssg解析到
facebook Domain:www.facebook.com dsn解析:173.252.88.66
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:173.252.88.66
如此一来就可以生效policy。
感觉是很基础的东西,但我一直把想法仅卡在ssg上,整个在鬼打墙。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.120.66.218
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1445500700.A.CFE.html
※ 编辑: lu760423 (59.120.66.218), 10/22/2015 15:59:40
※ 编辑: lu760423 (59.120.66.218), 10/22/2015 15:59:47
1F:推 Non: 如果前面两个都可以的话,那你试试www.facebook.com不加tw 10/22 17:29
2F:→ Non: 因为我查了一下它的确有这两个Aliases 10/22 17:30
3F:推 sssxyz: 用dns很难管理.... 10/22 19:57
4F:→ lu760423: 超难管...就有Firewall...却不用 10/23 08:33
今天测试一下
www.facebook.com
www.facebook.com.tw
facebook.com
firewall都可以解析,规则设下去之後pign出去反而是
star.c10r.facebook.com
可是我已经下了facebook.com 的domain应该档的住
却还是pass~T.T~~~怎麽会这样~
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 08:50:31
5F:推 Non: 可以用正规表示法来设定有facebook.com的字串就档吗? 10/23 10:03
你是说像是直接从URL字串中有Facebook就挡?
这个设定在其他网站都可以生效
如pchome、yahoo、google等等之类,但发现只要facebook就无法。
目前作法是将star.c10r.facebook.com解析173.252.88.66阻挡,
但我相信过一段时间serve又会跳...
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 10:09:54
6F:推 k020164043: 买一台PaloAlto来,直接锁应用程式 10/23 10:28
7F:→ k020164043: 还能限制是否只能看,不能PO文等等 10/23 10:28
8F:→ k020164043: 用Content Filter 的效果很差 10/23 10:29
有评估啊...说到这个~
上半年打算买LoadBlance下半年打算买L7设备...
主管最近突然冒出
「国产很多功能一起,吞吐量也很大,价格也不错,我们先考虑这种」
然後冒出「居易」....我都傻眼了。
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 10:46:24
10F:推 k020164043: 国产UTM根本拉机,用过PA就回不去了 10/23 10:49
11F:→ k020164043: 我们的政府都买3000系列的PA,一台200多万吧,还HA喔 10/23 10:50
12F:推 Non: 我记得Facebook domain name解析出来的TTL只有20秒 10/23 10:50
13F:→ Non: 所以你可能得看你家的DNS有没有可以增加TTL的设定 10/23 10:50
14F:→ Non: 我想这样应该可以暂缓一下吧XD 10/23 10:51
15F:→ deadwood: login.facebook.com也加进去挡看看? 10/23 11:05
最後决定下了这些...
facebook Domain:www.facebook.com dsn解析:31.13.70.1
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook3 Host: 173.252.88.66
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:31.13.87.1
只是不知道会档多久= =
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 11:34:53
16F:→ deadwood: 问题可能出DNS上,用8.8.8.8解析star.c10r.facebook.com 10/23 11:49
17F:→ deadwood: 31.13..70.1 10/23 11:52
我也解析到这个...不过如果直接用电脑Ping www.facebook.com.tw
就是会得到173.252.88.66 ...在想这到底怎麽解析到的
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 11:55:32
18F:→ deadwood: 确认SSG跟client的DNS server是一样的吧 10/23 12:07
解析出来啦!! 终於一致了!
不过还是有点不明白,DNS Server解析出来为什麽会跟fw指定168.95.1.1 的结果不同?
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 12:22:13
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 12:33:20
19F:→ deadwood: 用的是公司自有DNS,要看你们的server是怎麽设的 10/23 12:36
20F:→ deadwood: 少了一句...不同DNSserver会跟不同上层查询,你们client 10/23 12:37
原来如此...不过我发现我家的dns server全部指向自己...和彼此,
是不是应该有一笔要指向外部?
※ 编辑: lu760423 (59.120.66.218), 10/23/2015 13:59:19
21F:推 hank337: 作法可分内外DNS,a.内部 b.内部 c.外部查解 ,a与b.透过 11/09 14:09
22F:→ hank337: 认证方式(防止使用者自行设定)向c.查解 11/09 14:09