作者lu760423 (腦袋爛掉了)
看板MIS
標題[請益] SSG-140 Block Facebook
時間Thu Oct 22 15:58:16 2015
公司一直以來都用DNS阻擋Facebook,今天有需求某同是特例開放!
原先想說用SSG-140來阻擋,嘗試了一下...
http://www.pchome.com.tw
https://tw.yahoo.com
主要是測試一般80port和443port是否能阻擋,結果是ok的!
在Address List中的Domain name分別是
pchome.com.tw以及tw.yahoo.com
這樣都可以沒有問題! 接下來實上Facebook!
Domain name: Facebook.com.tw
怎麼樣設定都全體pass...換一個
Domain name: www.facebook.com.tw
一樣!!!還是全體pass...
表示我連基本全體阻擋都無法做到T.T...
各位先近是否針對facebook真的無法阻擋?
大感恩...
感謝deadwood大
最一開始狀況在ssg上dns指向分別是168.95.1.1、8.8.8.8
clinet則是永遠指向內部dns
此時ssg解析到
facebook Domain:www.facebook.com dsn解析:31.13.70.1
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:31.13.87.1
但如果用clinet、內部dns server去ping均會得到
facebook Domain:www.facebook.com dsn解析:173.252.88.66
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:173.252.88.66
在設定上就變成無法正確解析,儘管設了policy仍舊可以pass
最後在deadwood大的點醒...
將ssg的dns帶一組內部dns server,此時ssg解析到
facebook Domain:www.facebook.com dsn解析:173.252.88.66
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:173.252.88.66
如此一來就可以生效policy。
感覺是很基礎的東西,但我一直把想法僅卡在ssg上,整個在鬼打牆。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.120.66.218
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1445500700.A.CFE.html
※ 編輯: lu760423 (59.120.66.218), 10/22/2015 15:59:40
※ 編輯: lu760423 (59.120.66.218), 10/22/2015 15:59:47
1F:推 Non: 如果前面兩個都可以的話,那你試試www.facebook.com不加tw 10/22 17:29
2F:→ Non: 因為我查了一下它的確有這兩個Aliases 10/22 17:30
3F:推 sssxyz: 用dns很難管理.... 10/22 19:57
4F:→ lu760423: 超難管...就有Firewall...卻不用 10/23 08:33
今天測試一下
www.facebook.com
www.facebook.com.tw
facebook.com
firewall都可以解析,規則設下去之後pign出去反而是
star.c10r.facebook.com
可是我已經下了facebook.com 的domain應該檔的住
卻還是pass~T.T~~~怎麼會這樣~
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 08:50:31
5F:推 Non: 可以用正規表示法來設定有facebook.com的字串就檔嗎? 10/23 10:03
你是說像是直接從URL字串中有Facebook就擋?
這個設定在其他網站都可以生效
如pchome、yahoo、google等等之類,但發現只要facebook就無法。
目前作法是將star.c10r.facebook.com解析173.252.88.66阻擋,
但我相信過一段時間serve又會跳...
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 10:09:54
6F:推 k020164043: 買一台PaloAlto來,直接鎖應用程式 10/23 10:28
7F:→ k020164043: 還能限制是否只能看,不能PO文等等 10/23 10:28
8F:→ k020164043: 用Content Filter 的效果很差 10/23 10:29
有評估啊...說到這個~
上半年打算買LoadBlance下半年打算買L7設備...
主管最近突然冒出
「國產很多功能一起,吞吐量也很大,價格也不錯,我們先考慮這種」
然後冒出「居易」....我都傻眼了。
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 10:46:24
10F:推 k020164043: 國產UTM根本拉機,用過PA就回不去了 10/23 10:49
11F:→ k020164043: 我們的政府都買3000系列的PA,一台200多萬吧,還HA喔 10/23 10:50
12F:推 Non: 我記得Facebook domain name解析出來的TTL只有20秒 10/23 10:50
13F:→ Non: 所以你可能得看你家的DNS有沒有可以增加TTL的設定 10/23 10:50
14F:→ Non: 我想這樣應該可以暫緩一下吧XD 10/23 10:51
15F:→ deadwood: login.facebook.com也加進去擋看看? 10/23 11:05
最後決定下了這些...
facebook Domain:www.facebook.com dsn解析:31.13.70.1
facebook2 Domain:facebook.com dsn解析:31.13.70.1
facebook3 Host: 173.252.88.66
facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1
facebook_tw Domain:www.facebook.com.tw dsn解析:31.13.87.1
只是不知道會檔多久= =
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 11:34:53
16F:→ deadwood: 問題可能出DNS上,用8.8.8.8解析star.c10r.facebook.com 10/23 11:49
17F:→ deadwood: 31.13..70.1 10/23 11:52
我也解析到這個...不過如果直接用電腦Ping www.facebook.com.tw
就是會得到173.252.88.66 ...在想這到底怎麼解析到的
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 11:55:32
18F:→ deadwood: 確認SSG跟client的DNS server是一樣的吧 10/23 12:07
解析出來啦!! 終於一致了!
不過還是有點不明白,DNS Server解析出來為什麼會跟fw指定168.95.1.1 的結果不同?
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 12:22:13
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 12:33:20
19F:→ deadwood: 用的是公司自有DNS,要看你們的server是怎麼設的 10/23 12:36
20F:→ deadwood: 少了一句...不同DNSserver會跟不同上層查詢,你們client 10/23 12:37
原來如此...不過我發現我家的dns server全部指向自己...和彼此,
是不是應該有一筆要指向外部?
※ 編輯: lu760423 (59.120.66.218), 10/23/2015 13:59:19
21F:推 hank337: 作法可分內外DNS,a.內部 b.內部 c.外部查解 ,a與b.透過 11/09 14:09
22F:→ hank337: 認證方式(防止使用者自行設定)向c.查解 11/09 14:09