[Resolvido] facebook https

epboeira

@marcelloc:

Se respeitou a hierarquia das regras, acredito que está certo :)

Ainda sobre a hierarquia:
1 - primeiro eu liberei os ips que acessam o Facebook direto (sem restrição)
2 - liberei o horário do meio dia para os ips restritos (toda a subnet)
3 - bloqueio o facebook por host e por range de ips, tanto na porta 80 quanto na 433

hermanleao

@johnnybe:

A source deve ser Lan net, a source port deve ser * = any. O gateway também.

Bom dia Marcelo! Sou novo no forum e gostei bastante do tópico explicativo sobre o bloqueio dos facebook, excelente, mas e quanto ás outras redes sociais você(s) teria(m) alguma dica pro bloqueio?!
Tenho um excelente dia e um forte abraço. ;D

breno.uni

@meiolouco:

Srs. Estou testando diversos firewalls para escolher um fácil para instalar em escolas e acabei esbarrando em seu tópico.
Um dos pontos que estou levando em conta é possibilidade de bloquear facilmente as redes sociais e instant messengers.
Consegui compilar uma lista de IPs do Facebook que acabaram funcionando muito bem:

Eu instalo Firewall em Escolas Públicas e sou amigo da Escola. Tenho configurações que poderão ser de grande utilidade pra voce e podemos troca umas ideias aqui no forum sobre isso e colocar mais pfSense's em Escolas e assim divulgar mais e mais essa grande ferramenta.

@meiolouco:

Fiz a regra de bloqueio de acordo com o que encontrei em outro site: http://nextsense.com.br/blog/archives/402
Meu único porém para o PfSense foi que não encontrei um arquivo separado para adicionar todos os IPs de uma só vez, teria que cadastrar tudo pela GUI, coisa maçante de fazer, ou usar o viconfig, nada intuitivo e bastante arriscado. Caso haja outra forma que os colegas saibam eu agradeceria a informação.

Eu crieu o Alias com todas as redes do Facebook. Não preciso mais fazer esse trabalho manualmente. Só subir o alias e depois configurar a Rule correspondente ao bloqueio do Facebook para HTTPS e pronto. Caso queria esse alias posso lhe mandar.

Abraços

johnnybe

@breno.uni:

@meiolouco:

Fiz a regra de bloqueio de acordo com o que encontrei em outro site: http://nextsense.com.br/blog/archives/402
Meu único porém para o PfSense foi que não encontrei um arquivo separado para adicionar todos os IPs de uma só vez, teria que cadastrar tudo pela GUI, coisa maçante de fazer, ou usar o viconfig, nada intuitivo e bastante arriscado. Caso haja outra forma que os colegas saibam eu agradeceria a informação.

Eu crieu o Alias com todas as redes do Facebook. Não preciso mais fazer esse trabalho manualmente. Só subir o alias e depois configurar a Rule correspondente ao bloqueio do Facebook para HTTPS e pronto. Caso queria esse alias posso lhe mandar.

breno.uni, não entendi essa sua colocação. Afinal, o que o meiolouco fez foi justamente criar o Alias e a regra correspondente, conforme o link que ele postou e que trata justamente disso: Bloquear Facebook utilizando Regras e Aliases no pfSense.

Pelo que entendi, o que o meiolouco quis dizer é que "configurar cada network manualmente no Aliases é maçante". Realmente é.

marcelloc

@hermanleao:

mas e quanto ás outras redes sociais você(s) teria(m) alguma dica pro bloqueio?!

hermanleao, bem vindo ao fórum! :)

O procedimento é basicamente o mesmo, procurar as faixas de ip/hosts do site e cadastrar em um alias antes de criar a regra.

att,
Marcello Coutinho

vinicius

Amigos efetuei o bloqueio do Facebook utilizando os IPs informado no topico porem quando bloqueia não aparece a mesagem de acesso negado do squid, poderiam informar porque.

johnnybe

@vinicius:

Amigos efetuei o bloqueio do Facebook utilizando os IPs informado no topico porem quando bloqueia não aparece a mesagem de acesso negado do squid, poderiam informar porque.

Qual a mensagem que aparece?
Não seria mesmo para aparecer qualquer mensagem do Squid, uma vez que o bloqueio está sendo feito pelas regras do firewall, e não pelo proxy.
Isso se realmente você utilizou o bloqueio por Aliases/Rules.

marcelloc

@vinicius:

poderiam informar porque.

Se você usou regras de firewall, sugiro colocar reject no lugar de deny.

Como o johnnybe já postou, a mensagem de erro do squid aparece somente quando ele(o squid) bloqueia o acesso.

Guest

@marcelloc:

@avarela:

..mas o problema e o seguinte bloquei o facebook.com …

O https está passando provavelmente porque você esta usando proxy transparente.

para melhorar seu alias do facebook, coloque os hosts que você sabe que ele usa, por exemplo:

login.facebook.com
www.facebook.com
star.facebook.com

Neste caso terei que criar outra regra igual a que já existe para setar o novo aliase? Pergunto pq existe na regra apenas um campo "Destination" e no aliase não tem como setar networks e hosts junto. Entendeu a ideia?

marcelloc

@TonyEmiliano:

Neste caso terei que criar outra regra igual a que já existe para setar o novo aliase?

sim.

danielsantiago

kkkk fiz isso sei que não é elegante, mais eu reduzi o trabalho jogando para /16
31.13.0.0/16, 66.220.0.0/16, 69.63.0.0/16, 69.171.0.0/16, 74.119.0.0/16, 173.252.0.0/16, 204.15.0.0/16
já esta caindo na primeira regra, até agora sem nenhuma reclamação com outros sites.

Robsonsb

o que tem errado na minha regra? ???.. ainda está passando https://

meu proxy é transparente.

Naveed Nomi

can any one tell me how can i find ip and cidr of https://www.facebook.com and https://vimeo.com/
i am using windows 7 and pfsense2.0

johnnybe

@Naveed:

can any one tell me how can i find ip and cidr of https://www.facebook.com and https://vimeo.com/
i am using windows 7 and pfsense2.0

Hi Naveed Nomi,

Do a search for vimeo.com:
http://bgp.he.net/search?search

As for facebook:
http://nextsense.com.br/blog/wp-content/uploads/facebook_networks.txt

epboeira

@danielsantiago:

kkkk fiz isso sei que não é elegante, mais eu reduzi o trabalho jogando para /16
31.13.0.0/16, 66.220.0.0/16, 69.63.0.0/16, 69.171.0.0/16, 74.119.0.0/16, 173.252.0.0/16, 204.15.0.0/16
já esta caindo na primeira regra, até agora sem nenhuma reclamação com outros sites.

Ressuscitando o tópico:

Uma vez fiz isso também e acabou bloqueando o gmail, outros serviços do Google e o Dropbox. Tem que observar bem pra não dar rolo depois.

epboeira

Voltei ao tópico pois estou instalando um novo PfSense e tive que fazer o bloqueio do Facebook (pra variar, é o que mais pedem).

Aqui está os hosts que estão funcionando atualmente:

66.220.144.0/20
69.63.176.0/20
69.171.224.0/20
204.15.20.0/20
65.201.208.24/29
65.204.104.128/28
66.92.180.48/28
66.93.78.176/29
66.199.37.136/29
67.200.105.48/30
74.119.76.0/22
173.252.64.0/18
31.13.24.0/20
31.13.64.0/19
23.48.165.210/20
184.29.105.0/20

Volta e meia tem que revisar, pois às vezes acabam trocando. Já aconteceu de acabar bloqueando gmail e Dropbox. Acho que por causa da mask ou por hospedagem no cloud da Amazon e eles trocarem de rede.

Um programa que é uma ajuda e tanto pra 'caçar' os ips do facebook e de qualquer outro site é o TCP View. Ele mostra todas as conexões do computador.
Já teve vezes que passei o dia em uma empresa 'caçando' ips do Facebook. É uma praga, pois eu bloqueava um, ele acessava por outro.

Link do TCP View: http://download.sysinternals.com/files/TCPView.zip
285 KB

juninhoandrade

@epboeira:

Voltei ao tópico pois estou instalando um novo PfSense e tive que fazer o bloqueio do Facebook (pra variar, é o que mais pedem).

Aqui está os hosts que estão funcionando atualmente:

66.220.144.0/20
69.63.176.0/20
69.171.224.0/20
204.15.20.0/20
65.201.208.24/29
65.204.104.128/28
66.92.180.48/28
66.93.78.176/29
66.199.37.136/29
67.200.105.48/30
74.119.76.0/22
173.252.64.0/18
31.13.24.0/20
31.13.64.0/19
23.48.165.210/20
184.29.105.0/20

Volta e meia tem que revisar, pois às vezes acabam trocando. Já aconteceu de acabar bloqueando gmail e Dropbox. Acho que por causa da mask ou por hospedagem no cloud da Amazon e eles trocarem de rede.

Um programa que é uma ajuda e tanto pra 'caçar' os ips do facebook e de qualquer outro site é o TCP View. Ele mostra todas as conexões do computador.
Já teve vezes que passei o dia em uma empresa 'caçando' ips do Facebook. É uma praga, pois eu bloqueava um, ele acessava por outro.

Link do TCP View: http://download.sysinternals.com/files/TCPView.zip
285 KB

tem uma forma mais fácil não? ele cria um log?

epboeira

@JuniorAndrade:

tem uma forma mais fácil não? ele cria um log?

Como assim mais fácil? Adicionar os ips no PfSense ou um log do TCP View?

No PfSense dá pra criar um arquivo texto com estes ips que eu postei e depois importar no Aliases do Firewall, fácil, fácil.

hoffmann

Tópico excelente, funcionou!

Gabriella Queiroz de Barcelos

cidrs para bloq ou lib do pfSense

YOUTUBE

208.65.152.0/22
213.146.171.0/24
208.117.224.0/15
64.15.114.0/24
64.15.120.0/24
64.15.125.0/24
82.129.37.0/24
74.125.234.0/24
108.59.8.0/24
208.43.0.0/16
63.131.144.0/24
107.20.132.0/24
23.33.186.0/24
64.208.138.0/24
54.225.188.0/24
54.243.58.0/24

FACEBOOK

31.13.24.0/21
31.13.64.0/19
31.13.64.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
66.220.144.0/20
66.220.144.0/21
66.220.149.11/16
66.220.152.0/21
66.220.158.11/16
66.220.159.0/24
69.63.176.0/21
69.63.176.0/24
69.63.184.0/21
69.171.224.0/19
69.171.224.0/20
69.171.224.37/16
69.171.229.11/16
69.171.239.0/24
69.171.240.0/20
69.171.242.11/16
69.171.255.0/24
74.119.76.0/22
173.252.64.0/19
173.252.70.0/24
173.252.96.0/19
204.15.20.0/22?
103.4.96.0/22
173.252.64.0/18
173.252.64.0/19
173.252.70.0/24
173.252.96.0/19
179.60.192.0/22
179.60.192.0/24
179.60.193.0/24
179.60.194.0/24
179.60.195.0/24
185.60.216.0/22
204.15.20.0/22
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.74.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
31.13.81.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.88.0/24
31.13.89.0/24
31.13.90.0/24
31.13.91.0/24
31.13.92.0/24
31.13.93.0/24
31.13.94.0/24
31.13.95.0/24
31.13.96.0/19
45.64.40.0/22
66.220.144.0/20
66.220.144.0/21
66.220.152.0/21
66.220.159.0/24
69.171.224.0/19
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.253.0/24
69.171.255.0/24
69.63.176.0/20
69.63.176.0/21
69.63.176.0/24
69.63.178.0/24
69.63.184.0/21
69.63.186.0/24
74.119.76.0/22
31.13.24.0/21
31.13.64.0/18
66.220.152.0/21
69.171.224.0/19
69.63.0.0/16
74.119.76.0/22
103.4.96.0/22
173.252.64.0/18
204.15.0.0/16

31.13.24.0/21
31.13.64.0/19
31.13.64.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
66.220.144.0/20
66.220.144.0/21
66.220.149.11/16
66.220.152.0/21
66.220.158.11/16
66.220.159.0/24
69.63.176.0/21
69.63.176.0/24
69.63.184.0/21
69.171.224.0/19
69.171.224.0/20
69.171.224.37/16
69.171.229.11/16
69.171.239.0/24
69.171.240.0/20
69.171.242.11/16
69.171.255.0/24
74.119.76.0/22
173.252.64.0/19
173.252.70.0/24
173.252.96.0/19
204.15.20.0/22

Skype

157.55.135.130
157.55.135.134
157.55.134.136
13.107.3.128
13.90.95.57
65.55.163.82
65.55.163.78
52.114.128.10
65.55.163.76
23.101.156.198
104.46.97.118
104.215.101.245
104.208.165.109
52.179.199.114
52.187.36.169
52.114.142.67
52.114.32.8
65.52.108.76
40.84.51.249
13.94.112.175