#  > Servidores >  > Servidores de Rede >  >  Bloquear facebook (https)

## abyte

Prezados, boa tarde!

Estou encontrando muitas dificuldades para bloquear o facebook com https. Meu proxy é transparent, logo todas as requisições de sites https passam batidos por fora do squid.

Já consegui bloquear gmail, yahoo, orkut, msn... agora o facebook através do https://www.facebook.com não consigo nem por reza braba...

Alguém tem uma regra eficaz do iptables para tal?

Abs.

----------


## mrpawloski

Olá, eu conseguí com uma solução não muito elegante (aliás nada elegante), mas funcionou, claro que não funciona para grandes corporações(que não precisam de minha solução pois tem $$$ para adquirir soluções efetivas) mas para os pequenos funciona.

Implementei um servidor DNS interno para minha rede e configurei nele o domínio facebook.com, apontando o www dele para o IP de minha página intranet cujo Apache está com o SSL ativo. Esse mesmo DNS resolve todos os endereços internos e válidos, e o servidor DHCP aponta para ele quando distribui os IPs da rede.

Para isto funcionar algumas premissas devem existir:

- Controle das configurações de IP das estações (não permitir que usuários usem outro servidor DNS ou que instalem um na estação)
- Não permitir que usuários internos usem 3G
- Bloqueio de proxys anônimos no squid da rede

abs

----------


## alexandrecorrea

filtre pelo ip, na chain forward (filteR).

quando o destino for o bloco de ips do facebook.com .. resolve  :Smile:

----------


## luandotto

Bom dia Amigo,

Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

Solução 1.
De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.


```
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
```

 
Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

Solução 2.

Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)



```
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
 
#Redirecionando HTTPS para o SQUID
#############################################################
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
 
O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts
```

 
Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...

----------


## teccarlos

Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

/ip firewall filter
add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

Apenas isso mais nada.

abs a todos




> Bom dia Amigo,
> 
> Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:
> 
> Solução 1.
> De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.
> 
> 
> ```
> ...

----------


## renascido

> Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo
> 
> /ip firewall filter
> add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp
> 
> Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"
> 
> Apenas isso mais nada.
> 
> abs a todos




Essa regra aqui funcionou no Mikrotik; antes somente com web proxy não funcionava no https:// com a regra acima funcionou perfeitamente

----------


## L30N4D0

Fiz um teste aki e consegui resolver desta forma....

Clique em IP depois em FIREWALL. Na aba FILTER Clique no botão + para adicionar uma regra. No campo CHAIN, seleciona FORWARD. No campo PROTOCOL, selecione TCP. No campo DST PORT, seleciona 443. Agora clica no botão ACTION e seleciona a opção DROP. 

/ip firewall filter

add chain=forward protocol=tcp dst-port=443 action=drop comment="Bloqueio do Facebook HTTPS"

Se ajudei estrelinha.... 


Obs:Testando a regra ainda.....

----------


## alexandrecorrea

Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos

----------


## L30N4D0

> Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos


e se eu mudar o lugar do DST-PORT para ANY-PORT? RESOLVE ALGUMA COISA OU QUAL SERIA A MELHOR SOLUÇAO PARA RESOLVER ISSO, E SIM VDD, TRAVOU OS BANCOS AKI SERA QUE NAO DA PARA FAZER O REDIRECIONAMENTO DOS BANCOS SOMENTE PARA OS IPS QUE IRAO USAR?

----------


## alexandrecorrea

bloquear facebook exige um pouco mais de 'estudo' ...

eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..

----------


## L30N4D0

> bloquear facebook exige um pouco mais de 'estudo' ...
> 
> eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..


Ok irei tentar ^^ qq coisa eu posto aki os resultados

----------


## L30N4D0

Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio

----------


## jrprince

> Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio


Qual filtro?
Se esta funcionando posta pra gente! ;-)

----------


## correarct

Boa noite, estou com o mesmo problema, porem se bloqueia o site por content no filter rules funciona blzinha, mas como faço pra liberar o site para alguns ips da rede ex.

bloqueio o face para a rede 192.168.0.0/24 via content, mas quero liberar para uns 5 ips terem acesso tem como??

----------


## alltry

```
# Bloqueio facebook
for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
do
  iptables -A FORWARD -p all -d $ip -j REJECT
done
```

----------


## kelseysantos

> ```
> # Bloqueio facebook
> for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
> do
>   iptables -A FORWARD -p all -d $ip -j REJECT
> done
> ```


Valeu pela dica... Bloqueia mesmo..

----------


## alonghinotti

> Valeu pela dica... Bloqueia mesmo..


E ai, onde você usa essa regra??? SQUID??

----------

