Ajuda com uma Regra de Firewall para Facebook

[vilmar.brito]

Bom dia pessoal,
Estou com um problema estou aplicando essa regra:
http://rbgeek.wordpress.com/2012/05/...ocols-layer-7/

porem a exceção não funciona, ela bloqueia tudo, já tentei de outras maneiras mas não funciona, um amigo meu que trabalha com isso me ajudou também mais sem solução.
é para aplicação na empresa.

se alguém tiver algo que possa me ajudar agradeço.

Obrigado

[bismark]

Olá, Bom dia

Sua regra consegue bloquear todo Facebook?
Tenho algumas regras aqui na empresa que estão sando conta de bloquear todo conteúdo do Facebook. Tendo ainda um ip que pode ter acesso ao Face sem restrição.

me esclareça o que realmente esta acontecendo se seguiu o passo a passo como esta la.

Tente se basear nestas regras:


add action=accept chain=forward comment="BLOQUEIO DO FACEBOOK" disabled=no dst-port=443 layer7-protocol="Deny worktime" protocol=tcp \ src-address=192.168.137.12 src-port=""
add action=accept chain=forward disabled=no dst-port=80 layer7-protocol="Deny worktime" protocol=tcp src-address=192.168.137.12 src-port=""
add action=drop chain=forward disabled=no dst-port=80 layer7-protocol="Deny worktime" protocol=tcp src-address=192.168.137.0/24
add action=drop chain=forward disabled=no layer7-protocol="Deny worktime" src-address=192.168.137.0/24
add action=drop chain=forward disabled=no dst-port=443 layer7-protocol="Deny worktime" protocol=tcp src-address=192.168.137.0/24
add action=drop chain=forward disabled=no dst-address=31.13.85.0/24
add action=accept chain=forward disabled=no dst-address=31.13.73.0/24 src-address=192.168.137.12
add action=drop chain=forward disabled=no dst-address=31.13.73.0/24
add action=drop chain=forward disabled=no dst-address=31.13.65.0/24
add action=drop chain=forward disabled=no dst-address=173.252.110.0/24
add action=drop chain=forward disabled=no dst-address=173.252.79.0/24


O conteúdo que esta em Layer 7 Protocol = ^.+(facebook.com).*$
Do restante só bloqueio por ip


Bismark Lemke
Gerente de TI
MikroTik MTCNA I

[Batmam]

add action=add-dst-to-address-list address-list=FACEBOOK address-list-timeout=\
0s chain=forward content=facebook.com disabled=no src-address=192.168.1.3
add action=drop chain=forward disabled=no src-address-list=FACEBOOK

pode bloquear desta forma também usando uma address list

[vilmar.brito]

Olá, Bom dia

Sua regra consegue bloquear todo Facebook?
Tenho algumas regras aqui na empresa que estão sando conta de bloquear todo conteúdo do Facebook. Tendo ainda um ip que pode ter acesso ao Face sem restrição.

me esclareça o que realmente esta acontecendo se seguiu o passo a passo como esta la.

Tente se basear nestas regras:


add action=accept chain=forward comment="BLOQUEIO DO FACEBOOK" disabled=no dst-port=443 layer7-protocol="Deny worktime" protocol=tcp \ src-address=192.168.137.12 src-port=""
add action=accept chain=forward disabled=no dst-port=80 layer7-protocol="Deny worktime" protocol=tcp src-address=192.168.137.12 src-port=""
add action=drop chain=forward disabled=no dst-port=80 layer7-protocol="Deny worktime" protocol=tcp src-address=192.168.137.0/24
add action=drop chain=forward disabled=no layer7-protocol="Deny worktime" src-address=192.168.137.0/24
add action=drop chain=forward disabled=no dst-port=443 layer7-protocol="Deny worktime" protocol=tcp src-address=192.168.137.0/24
add action=drop chain=forward disabled=no dst-address=31.13.85.0/24
add action=accept chain=forward disabled=no dst-address=31.13.73.0/24 src-address=192.168.137.12
add action=drop chain=forward disabled=no dst-address=31.13.73.0/24
add action=drop chain=forward disabled=no dst-address=31.13.65.0/24
add action=drop chain=forward disabled=no dst-address=173.252.110.0/24
add action=drop chain=forward disabled=no dst-address=173.252.79.0/24


O conteúdo que esta em Layer 7 Protocol = ^.+(facebook.com).*$
Do restante só bloqueio por ip


Bismark Lemke
Gerente de TI
MikroTik MTCNA I

Bom dia,
Sim essa regra bloqueia tudo é show de bola, porem a exceção não, a sua funcionou tambem porem percebi um negocio, a exceção só funciona se aplicada ao servidor, se aplico na minha estação ou em outra não, estou imaginando que seja outra configuração não sei se de servidor, ou do mikrotik que ta influenciando nisso.

[bismark]

Bom dia.

Pelo que percebi na imagem, as regras estão na ordem e setadas corretamente, o que deve estar acontecendo é que elas não estejam filtrando como deveriam, repare que não esta acontecendo quase nenhum bloqueio de pacotes.

Ou seja se vc consegue bloquear o facebook provavelmente não esta sendo por este firewall.

quando vc diz servidor qual tipo de serviço ele oferece?
Todo o trafego passa por ele antes de ir para rede Local?


Bismark Lemke
Gerente de TI
MikroTik MTCNA I

[vilmar.brito]

Olá,

Isso mesmo, é um server 2008 (AD,DNS,DHCP) passa por ele, até me fez refletir algo, que retirei o DNS do mikrotik, só pra lembra o meu é um RB951-2n, e ele continua funcionando a internet, será que talvez o server não esta concentrando isso e não acaba passando pelo mikrotik? Mas eu fazendo um tracert do server a principio parece estar ok.

[bismark]

Olá.

Seu servidor de Mk é o servidor de DHCP?
Se caso for, verifique nas maquinas como que esta o dns se existe um dns secundário que esta sendo distribuído pelo MK,

Infelizmente neste ambiente em que vc se encontra não poderei te ajudar.
Não tenho pleno conhecimento de como deveria ficar a config do dns em sua rede.

Mexer com servidor de AD é muito tenso, se parar o DNS morre todo seu AD.

Bismark Lemke
Gerente de TI
MikroTik MTCNA I