+ Responder ao Tópico



  1. #1

    Padrão Bloquear facebook (https)

    Prezados, boa tarde!

    Estou encontrando muitas dificuldades para bloquear o facebook com https. Meu proxy é transparent, logo todas as requisições de sites https passam batidos por fora do squid.

    Já consegui bloquear gmail, yahoo, orkut, msn... agora o facebook através do https://www.facebook.com não consigo nem por reza braba...

    Alguém tem uma regra eficaz do iptables para tal?

    Abs.

  2. #2

    Padrão Re: Bloquear facebook (https)

    Olá, eu conseguí com uma solução não muito elegante (aliás nada elegante), mas funcionou, claro que não funciona para grandes corporações(que não precisam de minha solução pois tem $$$ para adquirir soluções efetivas) mas para os pequenos funciona.

    Implementei um servidor DNS interno para minha rede e configurei nele o domínio facebook.com, apontando o www dele para o IP de minha página intranet cujo Apache está com o SSL ativo. Esse mesmo DNS resolve todos os endereços internos e válidos, e o servidor DHCP aponta para ele quando distribui os IPs da rede.

    Para isto funcionar algumas premissas devem existir:

    - Controle das configurações de IP das estações (não permitir que usuários usem outro servidor DNS ou que instalem um na estação)
    - Não permitir que usuários internos usem 3G
    - Bloqueio de proxys anônimos no squid da rede

    abs



  3. #3

    Padrão Re: Bloquear facebook (https)

    filtre pelo ip, na chain forward (filteR).

    quando o destino for o bloco de ips do facebook.com .. resolve

  4. #4
    Avatar de luandotto
    Ingresso
    Jul 2011
    Localização
    Brumado- Bahia
    Posts
    135
    Posts de Blog
    7

    Padrão Re: Bloquear facebook (https)

    Bom dia Amigo,

    Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

    Solução 1.
    De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.
    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

    Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

    Solução 2.

    Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
    Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
     
    #Redirecionando HTTPS para o SQUID
    #############################################################
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
     
    O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

    Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...



  5. #5

    Padrão Re: Bloquear facebook (https)

    Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

    /ip firewall filter
    add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

    Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

    Apenas isso mais nada.

    abs a todos

    Citação Postado originalmente por luandotto Ver Post
    Bom dia Amigo,

    Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

    Solução 1.
    De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.
    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

    Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

    Solução 2.

    Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
    Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

    Código :
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
    iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
    iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
     
    #Redirecionando HTTPS para o SQUID
    #############################################################
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
     
    O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

    Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...

  6. #6

    Padrão Re: Bloquear facebook (https)

    Citação Postado originalmente por teccarlos Ver Post
    Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

    /ip firewall filter
    add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

    Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

    Apenas isso mais nada.

    abs a todos


    Essa regra aqui funcionou no Mikrotik; antes somente com web proxy não funcionava no https:// com a regra acima funcionou perfeitamente



  7. #7

    Padrão Re: Bloquear facebook (https)

    Fiz um teste aki e consegui resolver desta forma....

    Clique em IP depois em FIREWALL. Na aba FILTER Clique no botão + para adicionar uma regra. No campo CHAIN, seleciona FORWARD. No campo PROTOCOL, selecione TCP. No campo DST PORT, seleciona 443. Agora clica no botão ACTION e seleciona a opção DROP.

    /ip firewall filter

    add chain=forward protocol=tcp dst-port=443 action=drop comment="Bloqueio do Facebook HTTPS"

    Se ajudei estrelinha....


    Obs:Testando a regra ainda.....

  8. #8

    Padrão Re: Bloquear facebook (https)

    Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos



  9. #9

    Padrão Re: Bloquear facebook (https)

    Citação Postado originalmente por alexandrecorrea Ver Post
    Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos
    e se eu mudar o lugar do DST-PORT para ANY-PORT? RESOLVE ALGUMA COISA OU QUAL SERIA A MELHOR SOLUÇAO PARA RESOLVER ISSO, E SIM VDD, TRAVOU OS BANCOS AKI SERA QUE NAO DA PARA FAZER O REDIRECIONAMENTO DOS BANCOS SOMENTE PARA OS IPS QUE IRAO USAR?

  10. #10

    Padrão Re: Bloquear facebook (https)

    bloquear facebook exige um pouco mais de 'estudo' ...

    eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..



  11. #11

    Padrão Re: Bloquear facebook (https)

    Citação Postado originalmente por alexandrecorrea Ver Post
    bloquear facebook exige um pouco mais de 'estudo' ...

    eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..
    Ok irei tentar ^^ qq coisa eu posto aki os resultados

  12. #12

    Padrão Re: Bloquear facebook (https)

    Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio



  13. #13

    Lightbulb Re: Bloquear facebook (https)

    Citação Postado originalmente por L30N4D0 Ver Post
    Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio
    Qual filtro?
    Se esta funcionando posta pra gente! ;-)

  14. #14

    Padrão Re: Bloquear facebook (https)

    Boa noite, estou com o mesmo problema, porem se bloqueia o site por content no filter rules funciona blzinha, mas como faço pra liberar o site para alguns ips da rede ex.

    bloqueio o face para a rede 192.168.0.0/24 via content, mas quero liberar para uns 5 ips terem acesso tem como??



  15. #15

    Padrão Re: Bloquear facebook (https)

    Código :
    # Bloqueio facebook
    for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
    do
      iptables -A FORWARD -p all -d $ip -j REJECT
    done

  16. #16

    Padrão Re: Bloquear facebook (https)

    Citação Postado originalmente por alltry Ver Post
    Código :
    # Bloqueio facebook
    for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
    do
      iptables -A FORWARD -p all -d $ip -j REJECT
    done
    Valeu pela dica... Bloqueia mesmo..



  17. #17

    Question Re: Bloquear facebook (https)

    Citação Postado originalmente por kelseysantos Ver Post
    Valeu pela dica... Bloqueia mesmo..
    E ai, onde você usa essa regra??? SQUID??