Muitos administradores de rede estão tendo problemas para bloquear o Gmail, pois o google está usando, como padrão, o protocolo https para acesso ao seu serviço de e-mail. Por causa do uso desse protocolo, o Dansguardian (filtro de conteúdo) não consegue examinar os pacotes criptografados e permite o acesso, mesmo colocando o Gmail na blacklist.
Já que o filtro de conteúdo não consegue filtrar o Gmail, tive que partir para uma solução aonde deveria bloquear os endereços de rede onde o google atende pelo Gmail.
Executando o comando de rede nslookup para www.gmail.com, accounts.google.com e mail.google.com pude perceber que o gmail responde nos IP’s abaixo:
Nome = googlemail.l.google.com
Addresses: 74.125.234.117, 74.125.234.119, 74.125.234.118
Aliases: www.gmail.com, mail.google.com
Nome = accounts.l.google.com
Address: 74.125.159.84
Aliases: accounts.google.com
Nome = googlemail.l.google.com
Addresses: 74.125.234.23, 74.125.234.21, 74.125.234.22
Aliases: mail.google.com
Analisando as respostas percebi que o google utiliza a rede 74.125.x.x para os seus serviços.
Como solução para o problema, resolvi criar uma regra para bloquear os endereços da rede 74.125.0.0/16 (74.125.0.0/255.255.0.0).
Addresses: 74.125.234.16, 74.125.234.17, 74.125.234.18, 74.125.234.19, 74.125.234.20
Aliases: www.google.com.br, www.google.com
Sem o site de busca do Google não dá para ser feliz… hehehehe…
Então, para corrigir esse novo problema, especifiquei nessa regra que a porta a ser bloqueada é a 443 (https) usada pelo Gmail ao invés de ANY.
Até hoje está funcionando e sem reclamação de bloqueio do site de busca do google, mas estou sempre vendo os logs para ver se algum usuário mais esperto está conseguindo acessar o Gmail.
Tela de criação de regras do Endian Firewall
Na tela de criação da regra siga os passos abaixo.
Em source marque a opção “Zone / Interface”.
Em select interfaces selecione o opção Green (placa de rede que atende a rede interna).
Em destination marque a opção Network / IP.
Em insert network / IP digite: 74.125.0.0/255.255.0.0
Em service selecione HTTPS. O resto ele seleciona sozinho.
Em action selecione Deny.
O campo remark é de comentário. Eu coloco para me lembrar o que regra faz. Em position selecione a opção que quiser. O importante é que ela fique antes da regra que libera o protocolo https para a sua rede interna. Não necessariamente precisa ser a primeira. Depois clique em create rule.
Um grande abraço a todos e até o próximo post.