[請益] SSG-140 Block Facebook

作者lu760423 (腦袋爛掉了)

看板MIS

標題[請益] SSG-140 Block Facebook

時間Thu Oct 22 15:58:16 2015

公司一直以來都用DNS阻擋Facebook，今天有需求某同是特例開放! 原先想說用SSG-140來阻擋，嘗試了一下... http://www.pchome.com.tw https://tw.yahoo.com 主要是測試一般80port和443port是否能阻擋，結果是ok的! 在Address List中的Domain name分別是 pchome.com.tw以及tw.yahoo.com 這樣都可以沒有問題! 接下來實上Facebook! Domain name: Facebook.com.tw 怎麼樣設定都全體pass...換一個 Domain name: www.facebook.com.tw 一樣!!!還是全體pass... 表示我連基本全體阻擋都無法做到T.T... 各位先近是否針對facebook真的無法阻擋? 大感恩... 感謝deadwood大最一開始狀況在ssg上dns指向分別是168.95.1.1、8.8.8.8 clinet則是永遠指向內部dns 此時ssg解析到 facebook Domain:www.facebook.com dsn解析:31.13.70.1 facebook2 Domain:facebook.com dsn解析:31.13.70.1 facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1 facebook_tw Domain:www.facebook.com.tw dsn解析:31.13.87.1 但如果用clinet、內部dns server去ping均會得到 facebook Domain:www.facebook.com dsn解析:173.252.88.66 facebook2 Domain:facebook.com dsn解析:31.13.70.1 facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1 facebook_tw Domain:www.facebook.com.tw dsn解析:173.252.88.66 在設定上就變成無法正確解析，儘管設了policy仍舊可以pass 最後在deadwood大的點醒... 將ssg的dns帶一組內部dns server，此時ssg解析到 facebook Domain:www.facebook.com dsn解析:173.252.88.66 facebook2 Domain:facebook.com dsn解析:31.13.70.1 facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1 facebook_tw Domain:www.facebook.com.tw dsn解析:173.252.88.66 如此一來就可以生效policy。感覺是很基礎的東西，但我一直把想法僅卡在ssg上，整個在鬼打牆。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.120.66.218 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1445500700.A.CFE.html ※ 編輯: lu760423 (59.120.66.218), 10/22/2015 15:59:40 ※ 編輯: lu760423 (59.120.66.218), 10/22/2015 15:59:47

推 Non: 如果前面兩個都可以的話，那你試試www.facebook.com不加tw 10/22 17:29

→ Non: 因為我查了一下它的確有這兩個Aliases 10/22 17:30

推 sssxyz: 用dns很難管理.... 10/22 19:57

→ lu760423: 超難管...就有Firewall...卻不用 10/23 08:33

今天測試一下 www.facebook.com www.facebook.com.tw facebook.com firewall都可以解析，規則設下去之後pign出去反而是 star.c10r.facebook.com 可是我已經下了facebook.com 的domain應該檔的住卻還是pass~T.T~~~怎麼會這樣~ ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 08:50:31

推 Non: 可以用正規表示法來設定有facebook.com的字串就檔嗎? 10/23 10:03

你是說像是直接從URL字串中有Facebook就擋? 這個設定在其他網站都可以生效如pchome、yahoo、google等等之類，但發現只要facebook就無法。目前作法是將star.c10r.facebook.com解析173.252.88.66阻擋，但我相信過一段時間serve又會跳... ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 10:09:54

推 k020164043: 買一台PaloAlto來，直接鎖應用程式 10/23 10:28

→ k020164043: 還能限制是否只能看，不能PO文等等 10/23 10:28

→ k020164043: 用Content Filter 的效果很差 10/23 10:29

推 k020164043: 懶的上傳，用手機拍 http://i.imgur.com/zBMLZEn.jpg 10/23 10:34

有評估啊...說到這個~ 上半年打算買LoadBlance下半年打算買L7設備... 主管最近突然冒出「國產很多功能一起，吞吐量也很大，價格也不錯，我們先考慮這種」然後冒出「居易」....我都傻眼了。 ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 10:46:24

推 k020164043: 國產UTM根本拉機，用過PA就回不去了 10/23 10:49

→ k020164043: 我們的政府都買3000系列的PA，一台200多萬吧，還HA喔 10/23 10:50

推 Non: 我記得Facebook domain name解析出來的TTL只有20秒 10/23 10:50

→ Non: 所以你可能得看你家的DNS有沒有可以增加TTL的設定 10/23 10:50

→ Non: 我想這樣應該可以暫緩一下吧XD 10/23 10:51

→ deadwood: login.facebook.com也加進去擋看看? 10/23 11:05

最後決定下了這些... facebook Domain:www.facebook.com dsn解析:31.13.70.1 facebook2 Domain:facebook.com dsn解析:31.13.70.1 facebook3 Host: 173.252.88.66 facebook4 Domain:facebook.com.tw dsn解析:31.13.70.1 facebook_tw Domain:www.facebook.com.tw dsn解析:31.13.87.1 只是不知道會檔多久= = ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 11:34:53

→ deadwood: 問題可能出DNS上，用8.8.8.8解析star.c10r.facebook.com 10/23 11:49

→ deadwood: 31.13..70.1 10/23 11:52

我也解析到這個...不過如果直接用電腦Ping www.facebook.com.tw 就是會得到173.252.88.66 ...在想這到底怎麼解析到的 ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 11:55:32

→ deadwood: 確認SSG跟client的DNS server是一樣的吧 10/23 12:07

解析出來啦!! 終於一致了! 不過還是有點不明白，DNS Server解析出來為什麼會跟fw指定168.95.1.1 的結果不同? ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 12:22:13 ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 12:33:20

→ deadwood: 用的是公司自有DNS，要看你們的server是怎麼設的 10/23 12:36

→ deadwood: 少了一句...不同DNSserver會跟不同上層查詢，你們client 10/23 12:37

原來如此...不過我發現我家的dns server全部指向自己...和彼此，是不是應該有一筆要指向外部? ※ 編輯: lu760423 (59.120.66.218), 10/23/2015 13:59:19

推 hank337: 作法可分內外DNS，a.內部 b.內部 c.外部查解，a與b.透過 11/09 14:09

→ hank337: 認證方式（防止使用者自行設定）向c.查解 11/09 14:09