Bloquear facebook (https)

[abyte]

Prezados, boa tarde!

Estou encontrando muitas dificuldades para bloquear o facebook com https. Meu proxy é transparent, logo todas as requisições de sites https passam batidos por fora do squid.

Já consegui bloquear gmail, yahoo, orkut, msn... agora o facebook através do https://www.facebook.com não consigo nem por reza braba...

Alguém tem uma regra eficaz do iptables para tal?

Abs.

[mrpawloski]

Olá, eu conseguí com uma solução não muito elegante (aliás nada elegante), mas funcionou, claro que não funciona para grandes corporações(que não precisam de minha solução pois tem $$$ para adquirir soluções efetivas) mas para os pequenos funciona.

Implementei um servidor DNS interno para minha rede e configurei nele o domínio facebook.com, apontando o www dele para o IP de minha página intranet cujo Apache está com o SSL ativo. Esse mesmo DNS resolve todos os endereços internos e válidos, e o servidor DHCP aponta para ele quando distribui os IPs da rede.

Para isto funcionar algumas premissas devem existir:

- Controle das configurações de IP das estações (não permitir que usuários usem outro servidor DNS ou que instalem um na estação)
- Não permitir que usuários internos usem 3G
- Bloqueio de proxys anônimos no squid da rede

abs

[alexandrecorrea]

filtre pelo ip, na chain forward (filteR).

quando o destino for o bloco de ips do facebook.com .. resolve

[luandotto]

Bom dia Amigo,

Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

Solução 1.
De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.

Código :

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

Solução 2.

Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

Código :

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
 
#Redirecionando HTTPS para o SQUID
#############################################################
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
 
O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...

[teccarlos]

Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

/ip firewall filter
add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

Apenas isso mais nada.

abs a todos

Bom dia Amigo,

Existem 2 soluções visto que o SQUID não sabe tratar de protocolos HTTPS são elas:

Solução 1.
De um ping para o Welcome to Facebook - Log In, Sign Up or Learn More e veja sua faixa de IP, com sua faixa de IP coloque a regra.

Código :

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j DROP
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j DROP
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j DROP

Na regra acima bloqueamos tudo que vir da faixa 69.171.224.X pela porta 443 e 445 (porta HTTPS)

Solução 2.

Você pode tambem direcionar as portas 443 e 445 (portas https) para o seu squid. O problema é que o squid não sabe tratar de protocolos HTTPS pelo menos até a versão 2.7 que eu usei (nunca usei a 3 entao não posso falar), no momento que vece direcionar as portas https para o squid dara erro em tudo que for utilizar https (bancos, sites com autenticação etc...)
Ai ai contrario do bloqueio acima voce vai fazer a mesma regra dando um ACCEP ( As regras de ACCEPT devem ficar acima do redirecionamento das portas HTTPS para o SQUI)

Código :

iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 443 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
iptables -I FORWARD -p tcp -d 69.171.224.40/24 --dport 445 -j ACCEPT
 
#Redirecionando HTTPS para o SQUID
#############################################################
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 31928
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 445 -j REDIRECT --to-port 31928
 
O problema desta segunda solução é que voce vai ter que ir liberando site a site que sua empresa utilizar que use o protocolo htts

Foi util não deixe de postar resultados para outras pessoas, clicar na estrela e agradecer...

[renascido]

Galera pra bloquear o facebook ou qualquer outro site é muito simples basta executar o scrpt abaixo

/ip firewall filter
add action=drop chain=forward comment="BLOQUEIO DO FACEBOOK" content=facebook disabled=no protocol=tcp

Reparem que o site ao qual vc quer bloquear fica apenas na referencia do "content=facebook"

Apenas isso mais nada.

abs a todos

Essa regra aqui funcionou no Mikrotik; antes somente com web proxy não funcionava no https:// com a regra acima funcionou perfeitamente

[L30N4D0]

Fiz um teste aki e consegui resolver desta forma....

Clique em IP depois em FIREWALL. Na aba FILTER Clique no botão + para adicionar uma regra. No campo CHAIN, seleciona FORWARD. No campo PROTOCOL, selecione TCP. No campo DST PORT, seleciona 443. Agora clica no botão ACTION e seleciona a opção DROP.

/ip firewall filter

add chain=forward protocol=tcp dst-port=443 action=drop comment="Bloqueio do Facebook HTTPS"

Se ajudei estrelinha....


Obs:Testando a regra ainda.....

[alexandrecorrea]

Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos

[L30N4D0]

Leonardo, essa sua regra vai bloquear TODO trafego a qualquer site HTTPS !!! inclusive bancos

e se eu mudar o lugar do DST-PORT para ANY-PORT? RESOLVE ALGUMA COISA OU QUAL SERIA A MELHOR SOLUÇAO PARA RESOLVER ISSO, E SIM VDD, TRAVOU OS BANCOS AKI SERA QUE NAO DA PARA FAZER O REDIRECIONAMENTO DOS BANCOS SOMENTE PARA OS IPS QUE IRAO USAR?

[alexandrecorrea]

bloquear facebook exige um pouco mais de 'estudo' ...

eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..

[L30N4D0]

bloquear facebook exige um pouco mais de 'estudo' ...

eu tentaria bloquear utilizando DNS .. criando uma fake-zone *.facebook.com e apontando para um ip seu ou ip que nao existe..

Ok irei tentar ^^ qq coisa eu posto aki os resultados

[L30N4D0]

Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio

[jrprince]

Passando para avisar que to testando um filtro de layer7 para fazer o bloqueio... testando ainda mas esta funcionando o bloqueio

Qual filtro?
Se esta funcionando posta pra gente! ;-)

[correarct]

Boa noite, estou com o mesmo problema, porem se bloqueia o site por content no filter rules funciona blzinha, mas como faço pra liberar o site para alguns ips da rede ex.

bloqueio o face para a rede 192.168.0.0/24 via content, mas quero liberar para uns 5 ips terem acesso tem como??

[alltry]

Código :

# Bloqueio facebook
for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
do
  iptables -A FORWARD -p all -d $ip -j REJECT
done

[kelseysantos]

Código :

# Bloqueio facebook
for ip in `whois -h whois.radb.net '!gAS32934' | grep /`
do
  iptables -A FORWARD -p all -d $ip -j REJECT
done

Valeu pela dica... Bloqueia mesmo..

[alonghinotti]

Valeu pela dica... Bloqueia mesmo..

E ai, onde você usa essa regra??? SQUID??