Como bloquear Facebook Youtube no Mikrotik

Saudações!

Uma das coisas mais complicadas é o Youtube, devido ao fato de compartilhar servidores com outros serviços como o buscador da Google, Gmail etc, além de ter cache em servidores que não são da Google, assim se bloquear os IPs bloqueia coisas que não poderiam ser bloqueadas. O Youtube e o Facebook também podem ser acessado com HTTPS, então o bloqueio por palavra chave proxy, já não funciona.

Enfim, a solução mais fácil e segura é via DNS.

No Mikrotik você pode fazer esse bloqueio cadastrando os endereços do youtube e facebook como entradas estáticas no DNS, Menu IP->DNS, veja imagens abaixo.



Fazendo testes, com HTTPS ainda acessou o Facebook, pesquisando Face no Google e clicando no resultado com HTTPS..., então criei a regra DNS com HTTPS no endereço também, print abaixo:

Aqui no caso criei 2 entradas pro Facebook, uma com o HTTPS

Bom, se o cliente tiver configurado o endereço de DNS com o IP do Mikrotik, já deve ter bloqueado, caso contrário, se tiver DNS da Google (8.8.8.8) ou outro, ainda é preciso fazer uma regra NAT no Firewall pra redirecionar todas as consultas de DNS para o próprio Mikrotik, assim, o cliente sempre irá usar o DNS do Mikrotik.

 Então acesse IP->Firewall, aba NAT, clica no + pra adicionar uma regra, e configura assim:

Chain: dstnat
Src address: ! 10.2.2.1 -> Ip local do Mikrotik
Protocolo: UDP
Porta: 53
Pacotes destinados a porta 53 protocolo UDP são consultas DNS
Então tudo o que for consulta DNS que NÃO tiver sendo feito do próprio Mikrotik (source address diferente do IP do Mikrotik) será feita a ação REDIRECT para porta 53, assim irá consultar o próprio DNS do Mikrotik, mesmo que o cliente tenha configurado outro endereço de DNS.

Na guia Action, fica consoante imagem abaixo:
Ação que redireciona
Desta forma, aqui nos meus testes, o facebook e o youtube foram bloqueados. Embora eu imagine que o usuário ainda poderia alterar aquele arquivo hosts (%WinDir%\System32\Drivers\Etc) na própria máquina, se ele souber o endereço IP do facebook e for administrador da máquina local consegue burlar esse bloqueio criando a entrada DNS na própria máquina. Acho que isso apenas usuários avançados conseguiriam, então até hoje creio que o bloqueio por DNS seja a melhor solução.

Obs.: No caso de você ter fechado consultas ao Mikrotik como explicado no post anterior, Fechando acesso ao Mikrotik, lembra de ter a regra que permite as consultas DNS:

add chain=input protocol=udp port=53 action=accept

Até o Futuro!

Firewall - Fechando o Acesso ao Mikrotik

Uma forma de proteger a rede é proteger o acesso ao roteador Mikrotik, para isso devemos criar primeiro as regras que liberam o acesso ao aparelho, e por último uma regra que bloqueia o restante. Se não fizer as regras que liberam o acesso primeiro você corre o risco de perder o acesso ao roteador e vai ter que resetar. Uma opção é na rede interna acessar com Winbox pelo MAC.

Regras de Filtro criadas no Firewall
Primeiro, acesse o Mikrotik pelo Winbox e abra o terminal, então siga os comandos abaixo para fazer a configuração. Dica: Use o TAB para completar comandos e ver opções de preenchimento.

Vai até a configuração dos filtros do firewall
ip firewall filter
Regra 1: Liberar o acesso ao Mikrotik pelo WinBox
add chain=input protocol=tcp port=8291 action=accept

Regra 2: Liberar o acesso por FTP, SSH e Telnet
add chain=input protocol=tcp port=21-23 action=accept

Regra 3: Aceita requisições DNS
add chain=input protocol=udp port=53 action=accept

Regra 4: Aceita conexões relacionadas
add chain=input connection-state=related action=accept

Regra 5: Rejeita o restante 
add chain=input action=drop


Pegar próximos aniversários em PHP

Olá!

Essa noite estive fazendo um simples script PHP pra listar os próximos aniversariantes, mas me deparei com alguns desafios no tratamento de datas e cuidados com virada de ano etc, então como não achei nada semelhante na internet tive que improvisar e criar a solução que compartilho aqui.

Dei uma simplificada aqui no código pra explicar a ideia, segue:




Dúvidas ou sugestões postem comentários! Abraços!

Habilitar Acesso ao Tomcat 5.5 na Rede Local com IP

Bom dia pessoal!

Dica rápida pra quem instalou o Tomcat 5.5 (já bem desatualizado) e não consegue acessar ele pela rede local, usando IP do servidor.

É necessário acessar o arquivo server.xml localizado na pasta conf no diretório em que você instalou o Tomcat. Dentro deste arquivo, procure a tag Connector e adicione nesta string o seguinte valor:

address="0.0.0.0"

Então a minha string ficou da seguinte maneira:
Bom, estou postando essa dica porque foi um pouco difícil encontrar isso na internet, a maioria dos posts em fóruns manda liberar a porta 8080 no firewall, o que é necessário também para funcionar.
Outra dica útil sobre essa tag Connector é que você pode alterar a porta padrão 8080 para outra que desejar, existe casos em que essa porta já é utilizada, exemplo ter uma instalação do Apache Web Server rodando na mesma máquina... não sei, mas enfim, você pode alterar a port="8080" para a porta que quiser, só lembre de liberar no firewall depois.

That's all folks!

Dica original: http://stackoverflow.com/questions/6246127/cant-access-tomcat-using-ip-address

Solução dos Erros de FTP com PFSENSE

Olá Galerinha!!! Tudo numa boa?!!

Após muitas horas pesquisando fóruns e fazendo testes com PFSENSE, finalmente consegui resolver um problema antigo aqui no meu trabalho relacionado com FTP.

Temos na prefeitura um sistema chamado SisObraNET que utiliza FTP pra envio de arquivos e também usamos FTP para baixar atualizações e fazer backups dos demais sistemas, só que desde que instalamos o PFSENSE estavamos com erros no sistema.

No Filezilla até conseguia conectar, mas dava erros do tipo: "425 Can't open data connection for transfer..." -> "Falha na obtenção da lista de pastas".

SOLUÇÃO!! Simples como sempre...

Em resumo, a solução foi instalar um pacote chamado "FTP client proxy", você acessa o menu System->Packages e instala o pacote. Depois de instalado, acesse ele no menu Services, marca a opção Proxy Enabled e seleciona a interface LAN, igual na imagem abaixo.


EXTRAS - TALVEZ AJUDE

Durante os testes, fiz muitas alterações que talvez tenham contribuído pra funcionar, então, segue uma lista de algumas configurações:
  • Configurei o FileZilla pra usar FTP modo Ativo, segue print abaixo:
  • Liberei as portas 20, 21, 22 e 25 nas regras do Firewall->Rules para LAN.
  • Em System->Advanced, Aba System Tunables, coloquei valor "0" para debug.pfftpproxy.
Bom, as outras regras e configurações já eram mais antigas e não vejo relação com o problema, também não garanto que essas configurações vão resolver seu problema porque meu forte nunca foi configuração de firewall, mas não custa nada ajudar! Abraços!

Fórum em que encontrei a dica lendária: https://forum.pfsense.org/index.php?topic=92858.0