Bloquear facebook (https)

Prezados, boa tarde!

Estou encontrando muitas dificuldades para bloquear o facebook com https. Meu proxy é transparent, logo todas as requisições de sites https passam batidos por fora do squid.

Já consegui bloquear gmail, yahoo, orkut, msn... agora o facebook através do https://www.facebook.com não consigo nem por reza braba...

Alguém tem uma regra eficaz do iptables para tal?

Abs.

Olá, eu conseguí com uma solução não muito elegante (aliás nada elegante), mas funcionou, claro que não funciona para grandes corporações(que não precisam de minha solução pois tem $$$ para adquirir soluções efetivas) mas para os pequenos funciona.

Implementei um servidor DNS interno para minha rede e configurei nele o domínio facebook.com, apontando o www dele para o IP de minha página intranet cujo Apache está com o SSL ativo. Esse mesmo DNS resolve todos os endereços internos e válidos, e o servidor DHCP aponta para ele quando distribui os IPs da rede.

Para isto funcionar algumas premissas devem existir:

- Controle das configurações de IP das estações (não permitir que usuários usem outro servidor DNS ou que instalem um na estação)
- Não permitir que usuários internos usem 3G
- Bloqueio de proxys anônimos no squid da rede

abs

filtre pelo ip, na chain forward (filteR).

quando o destino for o bloco de ips do facebook.com .. resolve :)

Bom dia Amigo,

Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

Solução 1.
De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.

Código :

---

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

---

Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

Solução 2.

Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

Código :

---

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
 
#Redirecionando HTTPS para o SQUID
#############################################################
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
 
O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

---

Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...

Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

/ip firewall filter
add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

Apenas isso mais nada.

abs a todos

Citação:

---

Postado originalmente por luandotto

Bom dia Amigo,

Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

Solução 1.
De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.

Código :

---

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

---

Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

Solução 2.

Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

Código :

---

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
 
#Redirecionando HTTPS para o SQUID
#############################################################
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
 
O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

---

Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...

---

Citação:

---

Postado originalmente por teccarlos

Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

/ip firewall filter
add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

Apenas isso mais nada.

abs a todos

---

Essa regra aqui funcionou no Mikrotik; antes somente com web proxy não funcionava no https:// com a regra acima funcionou perfeitamente

Fiz um teste aki e consegui resolver desta forma....

Clique em IP depois em FIREWALL. Na aba FILTER Clique no botão + para adicionar uma regra. No campo CHAIN, seleciona FORWARD. No campo PROTOCOL, selecione TCP. No campo DST PORT, seleciona 443. Agora clica no botão ACTION e seleciona a opção DROP.

/ip firewall filter

add chain=forward protocol=tcp dst-port=443 action=drop comment="Bloqueio do Facebook HTTPS"

Se ajudei estrelinha....


Obs:Testando a regra ainda.....

Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos

Citação:

---

Postado originalmente por alexandrecorrea

Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos

---

e se eu mudar o lugar do DST-PORT para ANY-PORT? RESOLVE ALGUMA COISA OU QUAL SERIA A MELHOR SOLUÇAO PARA RESOLVER ISSO, E SIM VDD, TRAVOU OS BANCOS AKI SERA QUE NAO DA PARA FAZER O REDIRECIONAMENTO DOS BANCOS SOMENTE PARA OS IPS QUE IRAO USAR?

bloquear facebook exige um pouco mais de 'estudo' ...

eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..

Citação:

---

Postado originalmente por alexandrecorrea

bloquear facebook exige um pouco mais de 'estudo' ...

eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..

---

Ok irei tentar ^^ qq coisa eu posto aki os resultados

Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio

Citação:

---

Postado originalmente por L30N4D0

Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio

---

Qual filtro?
Se esta funcionando posta pra gente! ;-)

Boa noite, estou com o mesmo problema, porem se bloqueia o site por content no filter rules funciona blzinha, mas como faço pra liberar o site para alguns ips da rede ex.

bloqueio o face para a rede 192.168.0.0/24 via content, mas quero liberar para uns 5 ips terem acesso tem como??

Código :

---

# Bloqueio facebook
for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
do
  iptables -A FORWARD -p all -d $ip -j REJECT
done

---

Citação:

---

Postado originalmente por alltry

Código :

---

# Bloqueio facebook
for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
do
  iptables -A FORWARD -p all -d $ip -j REJECT
done

---

---

Valeu pela dica... Bloqueia mesmo..

Citação:

---

Postado originalmente por kelseysantos

Valeu pela dica... Bloqueia mesmo..

---

E ai, onde você usa essa regra??? SQUID??