Como Bloquear https (facebook.com y otros)

amnarl

Saludos mi estimado darome_nic al parecer tienes las herramientas para hacerlo, solo falta comprobar cual es tu diagrama de red para poderte ayudar. Ya que este tipo de web no son sencillas de bloquear simplemente. Te invito a publicar como tienes establecida la red para los servicios de tu lan

uziel

Yo lo que hicé fue bloquear el facebook por medio de las Rules…

hatchivana

Saludos.
Lo mejor que puedes hacer es Bloquearlas por medio de las Rules del Firewall solo tienes que buescar las IP de facebook, están por todas partes en Internet. Yo lo tengo de esa forma.

lem13631363

crea una regla y bloquea solo el facebook si se puede en cualquier modo

gus1185

Bloquea por medio de regla, en un alias mete los siguientes segmentos que son de facebook.

103.4.96.0/22 173.252.64.0/19 173.252.96.0/19 204.15.20.0/22 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.96.0/19 66.220.144.0/21 66.220.152.0/21 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.255.0/24 69.63.176.0/21 69.63.184.0/21 74.119.76.0/22

Tambien te dejo los de Twitter.

199.96.63.0/24 199.16.156.0/22 199.59.148.0/22 199.96.57.0/24

El youtube lo puedes bloquear por capa 7.

Yo lo llevo asi y va de maravilla.

Saludos.

bellera

A título de recordatorio…

¿Cómo saber el rango de IPs de una gran compañía?
https://forum.pfsense.org/index.php/topic,36344

Nótese que algunos de los rangos obtenidos incluyen otros.

31.13.64.0/19 incluye 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24

De hecho, la máscara 19 implica de 31.13.64.0 a 31.13.95.255 (http://www.subnet-calculator.com/cidr.php)

Funcionará igual, desde luego, aunque cargará algo más el cortafuegos.

![Captura de 2014-02-01 23:07:30.png](/public/imported_attachments/1/Captura de 2014-02-01 23:07:30.png)
![Captura de 2014-02-01 23:07:30.png_thumb](/public/imported_attachments/1/Captura de 2014-02-01 23:07:30.png_thumb)

acriollo

Puede hacerse también de manera no muy elegante con un simple DNS override en el mismo pfs.

Esto obliga a usar el pfs de servidor de DNS.
Saludos.

mellomx

Camaradas bloquie el facebook en las reglas del cortafuego a como mensiono el amigo gus1185 mis preguntas son:
¿es posible que se cuelen los usuarios al facebook de alguna manera?
¿que tan fiable es esta reglas?

Saludos y espero comentarios de experiencia! ;D

bellera

No sé si debería escribir esto…

Bueno, el método de evasión más curioso (tengo que postearlo en el foro en inglés) es traerse el portátil en marcha desde casa con la conexión a Facebook abierta.

Como que por norma una TCP se mantiene 24 horas, resulta que el cortafuegos admite la conexión...

Curioso, pero cierto.

Sleeping Facebook home connections brake corporative pfSense?
https://forum.pfsense.org/index.php?topic=73673.0

La lista de IPs te impide la realización de NUEVAS conexiones pero lo más efectivo que he encontrado es denegar el método CONNECT en squid (no transparente) para .facebook.com .twitter.com .youtube.com y filtrado de URLs con squidGuard.

acl stop_https_sites dstdomain .facebook.com .twitter.com .youtube.com
http_access deny CONNECT stop_https_sites

Estoy experimentando con squid3-devel para hacer SSL Bump (squid en modo transparente, que desencripta las conexiones https para ver las URLs de acceso y poder actuar en consecuencia). Eso sería lo ideal, pero hay que tener en cuenta que si los usuarios NO conocen las condiciones de conexión puede ser ilegal.

http://wiki.squid-cache.org/Features/SslBump

Paquete pfSense 2.1 squid3-devel, https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

En resumen, con la lista de IPs solucionas bastante el problema, pero no del todo.

mellomx

interesante sr. bellera imaginase llevarse la computadora de trabajo a casa xD pero en general como dice usted con la lista de IPs soluciono bastante el problema ya que por ejemplo cuando trataba de poner un AP era un problema ya que los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet y me hechaban la culpa xD de k le hacia brujeria pero en fin kreo k este es un gran paso para mis necesidad de bloquear el facebook muchas gracias !

bellera

@mellomx:

los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet

Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.

mellomx

he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

periko

Veo muchos casos donde desean atacar el problema de como controlar, FB, YouT, Tw, etc.

La manera mas sencilla es squid, Modo Transparente, no Transparente.

En mi poca experiencia, la diferencia del modo transparente es la facilidad de no tener que hacer nada y que el fw intercepte toda la comunicacion 80/443 y filtrarla sobre squid.

Lo que hace el modo no transparente es que no tiene esa automatizacion, uno lo hace con simples reglas en el fw y al final es lo que hace el modo Transparente, el sistema lo hace por nosotros, es toda la diferencia.

Tiempo atras asi se hacia en las versiones 2.0 y anteriores.

Ahora, una vez hecho esto, necesitamos que el usuario no se de cuenta de esto, es la diferencia del mono transparente, pero del otro lado esta wpad, se ha hablado mucho de el aqui, hay post por todos lados.

con Firefox, Iexplore, Safari, Chrome, excepto opera me ha funcionado, la doc en ingles no es nada compleja, con solo ver las imagenes se entiende.

Un tip que les recomiendo es, antes de probar, correr ccleaner y borrar todo los temporales de sus navegadores, ya que ellos tambien manejan cosas temporales.

Y claro al final, yo he tomando el control de mi red y bloqueado fb,yt sin problemas.

Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

Mis 2 centavos, saludos.

mellomx

como dices

Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

tienes razon la tecnologia movil nos alcanzo totalmente y pus como dijo para ser gratis no hay k pedirle tanto a la vida!

y como tu por fin tome el control de mi red pronto hare unas redacciones de mi experiencia para que le sirvan a usuarios :) Saludos a todos.

mellomx

Amigo gus1185 como bloqueaste el youtube en capa 7 me podrias explicar porfavor

saludos

bellera

Si van por https tampoco podrás bloquear por capa 7, pues el patrón no es visible, al estar el tráfico encriptado.

Tienes que usar una solución man-in-the-middle para filtrar contenidos https. O bloquearlos por tipo de tráfico (https) y/o IP de destino.

Te sugiero squid3-devel para todo esto, https://forum.pfsense.org/index.php?topic=73689.0

Te estoy escribiendo en modo https pasando por squid3-devel de pfSense…

amnarl

Saludos mis estimados, coincido con el amigo periko la mejor manera de trabajar bloqueos necesarios en una red de servicios es usar squid este te dara las herramientas para hacer bloqueos como desees sabiendo crear las acls necesarias. Bloqueo por palabras, url, horarios, usuarios, etc . Estamos a la orden

ardax

Chicos, he leido todos los post del foro, acerca de bloqueos.

Llevo mas de una semana haciendo todo lo que he leido y no logro bloquear facebook.
Tengo reglas, alias. blacklist, y nada de nada.

Alguien podria ayudarme por favor?

Saludos desde Chile

denis9512013

puedes bloquear facebook con dns resolver o dns forwared.. ->domain overrides colocas el dominio (Facebook) y en la ip pones una ip falsa..

juancho

@bellera:

@mellomx:

los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet

Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.

Esto si funciona, yo lo tengo funcionando en la empresa hace como 2 años, lo configure po DCP y DNS ya que algunos sistemas toman por dhcp y otros por dns.. hay que destacar que los dns son internos. la verdad me quite ese dolor de cabeza de facebook y youtube