Bloquear Facebook Https - Idéias [RESOLVIDO]

maninhx
(usa Slackware)

Enviado em 12/07/2012 - 21:46h

Pessoal. Tem um servidor Squid/Firewall que fiz para uma pequena empresa há alguns anos. Bom, ele tem bloqueio por palavras e MSN controlado por MAC. Eu preciso bloquear o facebook por Https. Eu não posso bloquear a porta 443 para determinados MAC, porque existem outros sites https que precisam ser acessados. Porém li várias dicas e tutoriais e a forma eficiênte que encontrei foi usar o regras string no firewall.

Porém meu iptables não tem o módulo nativo string, tentei compilar, mas a regras strings dão erro. Acho que não compilou corretamente. Estou a ponto de refazer todo esse servidor, e instalar uma versão do Slackware que tenha o módulo ipt_string. Se alguém tiver alguma dica, solução alternativa eu agradeço.

renato_pacheco
(usa Debian)

Enviado em 12/07/2012 - 22:44h

Minha dica: bloqueie a porta 443 e vá liberando tudo no Squid. É a forma mais prática q acho, já q vc se dispôs a refazer seu servidor. A manutenção d regras em firewall é complicada se falando em string.

maninhx
(usa Slackware)

Enviado em 12/07/2012 - 22:46h

eu bloqueando a porta 443 no firewall, eu vou conseguir depois liberar algum site que usa essa porta 443?

Ou como faria?

renato_pacheco
(usa Debian)

Enviado em 12/07/2012 - 22:49h

Consegue através do Squid. Assim vc obrigaria todos a navegar na Internet apenas com o proxy.

maninhx
(usa Slackware)

Enviado em 13/07/2012 - 00:33h

Mas se tiver algun site que só usa porta 443?

Da para fazer com proxy transparente?

iamloco
(usa Ubuntu)

Enviado em 13/07/2012 - 09:12h

Ola amigo, segue as regras que uso no firewall da minha empresa


# BLOQUEIO DO FACEBOOK
iptables -A FORWARD -d 65.201.208.24/29 -j REJECT
iptables -A FORWARD -d 65.204.104.128/28 -j REJECT
iptables -A FORWARD -d 66.93.78.176/29 -j REJECT
iptables -A FORWARD -d 66.92.180.48/28 -j REJECT
iptables -A FORWARD -d 67.200.105.48/30 -j REJECT
iptables -A FORWARD -d 69.63.176.0/20 -j REJECT
iptables -A FORWARD -d 69.171.224.0/19 -j REJECT
iptables -A FORWARD -d 74.119.76.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 66.220.144.0/20 -j REJECT
iptables -A FORWARD -d 173.252.64.0/18 -j REJECT

iptables -A OUTPUT -d 65.201.208.24/29 -j REJECT
iptables -A OUTPUT -d 65.204.104.128/28 -j REJECT
iptables -A OUTPUT -d 66.93.78.176/29 -j REJECT
iptables -A OUTPUT -d 66.92.180.48/28 -j REJECT
iptables -A OUTPUT -d 67.200.105.48/30 -j REJECT
iptables -A OUTPUT -d 69.63.176.0/20 -j REJECT
iptables -A OUTPUT -d 69.171.224.0/19 -j REJECT
iptables -A OUTPUT -d 74.119.76.0/22 -j REJECT
iptables -A OUTPUT -d 204.15.20.0/22 -j REJECT
iptables -A OUTPUT -d 204.15.20.0/22 -j REJECT
iptables -A OUTPUT -d 66.220.144.0/20 -j REJECT
iptables -A OUTPUT -d 173.252.64.0/18 -j REJECT

depois que adicionei elas não vi ninguem mais entrar e até mesmo eu testo as vezes e não entra nem por https :D
coloquei essa regra antes de redirecionar para o squid.
Espero ter ajudado se funcionar posta ae o resultado.
flw

renato_pacheco
(usa Debian)

Enviado em 13/07/2012 - 09:44h

Pode ser qq porta q funciona, mas se for proxy transparente não funciona, pois vc teria q explicitar os hosts no iptables, como o colega acima colocou. Como disse antes, é algo q não recomendo...

riesdra
(usa Debian)

Enviado em 13/07/2012 - 09:55h

com proxy transparente, use o squidguard, ai bloqueia o domínio nele.

maninhx
(usa Slackware)

Enviado em 13/07/2012 - 10:56h

tem como eu fazer um arquivo com todos esses IPs e fazer o iptables ler? Pois se eu precisar liberar o facebook para alguns MAC irá facilitar. Aí primeiro eu libero pro MAC, e depois bloqueio para o restante.

maninhx
(usa Slackware)

Enviado em 13/07/2012 - 19:07h

Hoje recebi uma nova dica, um pouco diferente.

Bloquear a porta 443 para os IPs do Facebook. Porém não sei montar essa regra. Como ela ficaria?

renato_pacheco
(usa Debian)

Enviado em 13/07/2012 - 23:34h

Simples: basta acrescentar ao comando iptables o parâmetro -p tcp --dport 443.