BFW Firewall & Router

[carlos_silvasantos]

Boa noite,

Pessoal,

Implantei lista branca de HTTPs para testes e está funcionando 100%.

Implantei usando esse tópico:
http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=82133&p=286167&hilit=Facebook+ainda+conecta%2C+mesmo+com+regras#p286167

Já consegui liberar sites de banco e webmails.

O problema é que não estou conseguindo liberar o hotmail.

Alguém tem alguma dica?

Abraços!

[jhowlinks]

Bom dia amigo, tenho esses domínios aqui do hotmail, porem não estão testados já que aqui na empresa não é permitido o uso do hotmail.
Coloca aí e veja se te ajuda de alguma forma.

Código: Selecionar todos

#####LIBERAÇÃO HOTMAIL#####
hotmail.com
login.live.com
mail.live.com
login.live.com.nsatc.net
accountservices.msn.com.nsatc.net
accountservices.passport.net
secure.shared.live.com
signup.live.com
security.live.com
extended-validation-ssl.verisign.com
secure.wlxrs.com

PS: Só tem uma coisa, eu não sei de fato o que uma regra feita para o hotmail interfere no msn e vice e versa, ja que a autenticação live é para os dois, digo isso no caso de você ter alguma regra de bloqueio para o messenger.

Abraço

[carlos_silvasantos]

Bom dia amigo, tenho esses domínios aqui do hotmail, porem não estão testados já que aqui na empresa não é permitido o uso do hotmail.
Coloca aí e veja se te ajuda de alguma forma.

Código: Selecionar todos

#####LIBERAÇÃO HOTMAIL#####
hotmail.com
login.live.com
mail.live.com
login.live.com.nsatc.net
accountservices.msn.com.nsatc.net
accountservices.passport.net
secure.shared.live.com
signup.live.com
security.live.com
extended-validation-ssl.verisign.com
secure.wlxrs.com

PS: Só tem uma coisa, eu não sei de fato o que uma regra feita para o hotmail interfere no msn e vice e versa, ja que a autenticação live é para os dois, digo isso no caso de você ter alguma regra de bloqueio para o messenger.

Abraço

Muito obrigado, vou deixar em testes depois posto os resultados.

Desde já agradeço a atenção amigão!

Att

[carlos_silvasantos]

Boa tarde,

Pessoal...

Fiz todos os testes possíveis aqui. Liberei os links que o nosso amigo jhowlinks recomendou...

Utilizei outras técnicas apontadas no Fórum, tipo:

- Verificar pelo comando dig +short domínio (pegando e liberando os ranges de Ip);
- Pegar os HTTPs do código-fonte e liberar (do login e após conectar no site);


E nada, GMAIL e HOTMAIL pelo https com LISTA BRANCA não funciona.

O que quero dizer:

- Fazendo as liberações conforme citei acima até liberam os sites, mas por pouco tempo!

Você faz o acesso depois que libera, mas se continuar testando no decorrer do dia vai verificar que nem sempre entra. Não sei se os domínios e/ou Ips são modificados a cada acesso!

Se alguém tiver alguma ideia do que acontece fico agradecido!

Detalhe:

O controle de HTTPs está funcionando, mas algums webmails como GMAIL e HOTMAIL não estou conseguindo liberar!

Att

[carlos_silvasantos]

Pessoal,

Continuando minhas leituras no Fórum...

Em outro tópico http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=85276#p304795 o JRBRAGA afirmou:

O problema com essa regra é que ela não é dinâmica, ou seja, o iptables resolve o ip de internetbanking.caixa.gov.br
e coloca na tabela. Se o nome mudar de ip, a regra não o atinge até a próxima recarga do sistema.

Deve ser por isso que o GMAIL e HOTMAIL não funcionam corretamente somente acrescentando os domínios. Detalhe: também acrescentei ranges de IP e também não funcionou. Ou acrescentei os ranges de forma errada ou novos ranges foram utilizados pelo GOOGLE e MICROSOFT.

Att

[carlos_silvasantos]

Boa tarde,

Depois de quebrar muito a cabeça. Solução:

Código: Selecionar todos

#HOTMAIL
65.52.0.0/14
72.246.0.0/15
157.60.0.0/16
157.56.0.0/14
157.54.0.0/15
96.16.0.0/15
23.64.0.0/14
23.32.0.0/11
157.54.0.0/15
157.60.0.0/16
157.56.0.0/14
65.52.0.0/14
173.222.0.0/15
64.4.0.0/18
23.0.0.0/12

Como conseguir descobrir a lista acima:

Tente fazer o procedimento:

1. Abra a página do seu webmail, mas não faça login ainda;
2. Use a função "Ver código fonte" do navegador utilizado;
3. Dentro do código-fonte, procure por "https:" (sem aspas);
4. Cadastre todos os endereços embutidos no código-fonte dentro do https.wl;
5. Salve o https.wl e reinicie o firewall.

Você terá que fazer isso em um computador privilegiado, já que nos 'comuns' o código-fonte não é acessado. Faça o mesmo após o login também.

Lembre-se que endereços sem o https não são manipulados pelo código.


Se os passos acima não funcionarem, como no caso de GMAIL E HOTMAIL, pois esses dois mudam a todo o momento os IPs que são associados
aos dominios causando instabilidade no acesso se for somente liberado o dominio como no passo acima:


Para descobrir qual o seu IP/mask façam assim;


No console do bfw use o comando:


dig twitter.com

Observação: No caso do problema do tópico, é só dar o comando dig dos domínios verificados conforme o procedimento acima. Detalhe: Todos os domínios.

o que iremos precisar são estes ips que apareceram em ANSWER SECTION ;


;; ANSWER SECTION:
twitter.com. 18 IN A 199.59.149.198
twitter.com. 18 IN A 199.59.148.230
twitter.com. 18 IN A 199.59.148.82


Agora teremos que descobrir as faixas de ip , para isso usaremos o WHOIS , no webadmin em ferramentas >rede >whois
colocando o primeiro ip 199.59.149.198 no whois , a unica linha que iremos usar é esta ;


CIDR: 199.59.148.0/22


Isto é o que nós interessa, estas são umas das faixas de ip que teremos que colocar no https.wl

Agora ficou fácil colocar a lista branca de HTTPS em total funcionamento.

Abraços!