Como Bloquear https (facebook.com y otros)

gus1185

Bloquea por medio de regla, en un alias mete los siguientes segmentos que son de facebook.

103.4.96.0/22 173.252.64.0/19 173.252.96.0/19 204.15.20.0/22 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.96.0/19 66.220.144.0/21 66.220.152.0/21 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.255.0/24 69.63.176.0/21 69.63.184.0/21 74.119.76.0/22

Tambien te dejo los de Twitter.

199.96.63.0/24 199.16.156.0/22 199.59.148.0/22 199.96.57.0/24

El youtube lo puedes bloquear por capa 7.

Yo lo llevo asi y va de maravilla.

Saludos.

bellera

A título de recordatorio…

¿Cómo saber el rango de IPs de una gran compañía?
https://forum.pfsense.org/index.php/topic,36344

Nótese que algunos de los rangos obtenidos incluyen otros.

31.13.64.0/19 incluye 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24

De hecho, la máscara 19 implica de 31.13.64.0 a 31.13.95.255 (http://www.subnet-calculator.com/cidr.php)

Funcionará igual, desde luego, aunque cargará algo más el cortafuegos.


acriollo

Puede hacerse también  de manera no muy elegante con un simple DNS override en el mismo pfs.

Esto obliga a usar el pfs de servidor de DNS.
Saludos.

mellomx

Camaradas bloquie el facebook en las reglas del cortafuego a como mensiono el amigo gus1185 mis preguntas son:
¿es posible que se cuelen los usuarios al facebook de alguna manera?
¿que tan fiable es esta reglas?

Saludos y espero comentarios de experiencia! ;D

bellera

No sé si debería escribir esto…

Bueno, el método de evasión más curioso (tengo que postearlo en el foro en inglés) es traerse el portátil en marcha desde casa con la conexión a Facebook abierta.

Como que por norma una TCP se mantiene 24 horas, resulta que el cortafuegos admite la conexión...

Curioso, pero cierto.

Sleeping Facebook home connections brake corporative pfSense?
https://forum.pfsense.org/index.php?topic=73673.0

La lista de IPs te impide la realización de NUEVAS conexiones pero lo más efectivo que he encontrado es denegar el método CONNECT en squid (no transparente) para .facebook.com .twitter.com .youtube.com y filtrado de URLs con squidGuard.

acl stop_https_sites dstdomain .facebook.com .twitter.com .youtube.com
http_access deny CONNECT stop_https_sites

Estoy experimentando con squid3-devel para hacer SSL Bump (squid en modo transparente, que desencripta las conexiones https para ver las URLs de acceso y poder actuar en consecuencia). Eso sería lo ideal, pero hay que tener en cuenta que si los usuarios NO conocen las condiciones de conexión puede ser ilegal.

http://wiki.squid-cache.org/Features/SslBump

Paquete pfSense 2.1 squid3-devel, https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

En resumen, con la lista de IPs solucionas bastante el problema, pero no del todo.

mellomx

interesante sr. bellera imaginase llevarse la computadora de trabajo a casa xD pero en general como dice usted  con la lista de IPs soluciono bastante el problema ya que por ejemplo cuando trataba de poner un AP era un problema ya que los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet y me hechaban la culpa xD de k le hacia brujeria pero en fin kreo k este es un gran paso para mis necesidad de bloquear el facebook muchas gracias !

bellera

@mellomx:

los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet

Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.

mellomx

he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

periko

Veo muchos casos donde desean atacar el problema de como controlar, FB, YouT, Tw, etc.

La manera mas sencilla es squid, Modo Transparente, no Transparente.

En mi poca experiencia, la diferencia del modo transparente es la facilidad de no tener que hacer nada y que el fw intercepte toda la comunicacion 80/443 y filtrarla sobre squid.

Lo que hace el modo no transparente es que no tiene esa automatizacion, uno lo hace con simples reglas en el fw y al final es lo que hace el modo Transparente, el sistema lo hace por nosotros, es toda la diferencia.

Tiempo atras asi se hacia en las versiones 2.0 y anteriores.

Ahora, una vez hecho esto, necesitamos que el usuario no se de cuenta de esto, es la diferencia del mono transparente, pero del otro lado esta wpad, se ha hablado mucho de el aqui, hay post por todos lados.

con Firefox, Iexplore, Safari, Chrome, excepto opera me ha funcionado, la doc en ingles no es nada compleja, con solo ver las imagenes se entiende.

Un tip que les recomiendo es, antes de probar, correr ccleaner y borrar todo los temporales de sus navegadores, ya que ellos tambien manejan cosas temporales.

Y claro al final, yo he tomando el control de mi red y bloqueado fb,yt sin problemas.

Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

Mis 2 centavos, saludos.

mellomx

como dices

Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

tienes razon la tecnologia movil nos alcanzo totalmente y pus como dijo para ser gratis no hay k pedirle tanto a la vida!

y como tu por fin tome el control de mi red pronto hare unas redacciones de mi experiencia para que le sirvan a usuarios :) Saludos a todos.

mellomx

Amigo gus1185 como bloqueaste el youtube en capa 7 me podrias explicar porfavor

saludos

bellera

Si van por https tampoco podrás bloquear por capa 7, pues el patrón no es visible, al estar el tráfico encriptado.

Tienes que usar una solución man-in-the-middle para filtrar contenidos https. O bloquearlos por tipo de tráfico (https) y/o IP de destino.

Te sugiero squid3-devel para todo esto, https://forum.pfsense.org/index.php?topic=73689.0

Te estoy escribiendo en modo https pasando por squid3-devel de pfSense…

amnarl

Saludos mis estimados, coincido con el amigo periko la mejor manera de trabajar bloqueos necesarios en una red de servicios es usar squid este te dara las herramientas para hacer bloqueos como desees sabiendo crear las acls necesarias. Bloqueo por palabras, url, horarios, usuarios, etc . Estamos a la orden

ardax

Chicos, he leido todos los post del foro, acerca de bloqueos.

Llevo mas de una semana haciendo todo lo que he leido y no logro bloquear facebook.
Tengo reglas, alias. blacklist, y nada de nada.

Alguien podria ayudarme por favor?

Saludos desde Chile

denis9512013

puedes bloquear facebook con dns resolver o dns forwared.. ->domain overrides colocas el dominio (Facebook) y en  la ip pones una ip falsa..

juancho

@bellera:

@mellomx:

los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet

Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.

Esto si funciona, yo lo tengo funcionando en la empresa hace como 2 años, lo configure po DCP y DNS ya que algunos sistemas toman por dhcp y otros por dns.. hay que destacar que los dns son internos. la verdad me quite ese dolor de cabeza de facebook y youtube

juancho

@mellomx:

he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona

cbd

he seguido este tutorial (http://www.eduardojonck.com/index.php?action=artikel&cat=6&id=30&artlang=pt-br), que parece muy completo y justo para mi versión de PFSense, pero le da igual, se lo salta.
Ya no sé lo que hacer, he probado desde varios PC's y nada, tengo puesto en la blacklist a youtube y facebook, por ejemplo, y ni puto caso.
Lo que no puedo permitirme es poner el servidor proxy en cada PC cliente, lo debe detectar automáticamente , ya no sé que hacer, ni sé las horas que le he echado a esto y sigue sin funcionar…
Decir que quiero bloqeuar a los PC's conectados por OpenVPN.

@periko:

Veo muchos casos donde desean atacar el problema de como controlar, FB, YouT, Tw, etc.

La manera mas sencilla es squid, Modo Transparente, no Transparente.

En mi poca experiencia, la diferencia del modo transparente es la facilidad de no tener que hacer nada y que el fw intercepte toda la comunicacion 80/443 y filtrarla sobre squid.

Lo que hace el modo no transparente es que no tiene esa automatizacion, uno lo hace con simples reglas en el fw y al final es lo que hace el modo Transparente, el sistema lo hace por nosotros, es toda la diferencia.

Tiempo atras asi se hacia en las versiones 2.0 y anteriores.

Ahora, una vez hecho esto, necesitamos que el usuario no se de cuenta de esto, es la diferencia del mono transparente, pero del otro lado esta wpad, se ha hablado mucho de el aqui, hay post por todos lados.

con Firefox, Iexplore, Safari, Chrome, excepto opera me ha funcionado, la doc en ingles no es nada compleja, con solo ver las imagenes se entiende.

Un tip que les recomiendo es, antes de probar, correr ccleaner y borrar todo los temporales de sus navegadores, ya que ellos tambien manejan cosas temporales.

Y claro al final, yo he tomando el control de mi red y bloqueado fb,yt sin problemas.

Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

Mis 2 centavos, saludos.

@juancho:

@mellomx:

he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona

juancho

Asi configuré  WPAD hace dos años aproximadamente.

1. Cree los archivos wpad, wpad.dat, wpad.da, proxy.pac ya que son los tipos de archivos que usan los diferentes navegadores ( segun lo investigado en su momento). El archivo contiene esto

 function FindProxyForURL(url, host) {
   if shExpMatch(host, ".xxxx.xxxx.xxx"))
    return "DIRECT";
 ##########################################BANCOS########################
 if (dnsDomainIs(host, "*.banvenez.com"))
    return "DIRECT";
if (dnsDomainIs(host, "e-bdvcpx.banvenez.com"))
    return "DIRECT";
if (dnsDomainIs(host, "e-bdv.banvenez.com"))
    return "DIRECT";

##########################################REDES #####################
  if (shExpMatch(url, "*127.0.0*") || shExpMatch(host, "*localhost*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.100*")|| shExpMatch(url, "https://172.31.100.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.104*")|| shExpMatch(url, "https://172.31.104.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.108*")|| shExpMatch(url, "https://172.31.108.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.112*")|| shExpMatch(url, "https://172.31.112.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.116*")|| shExpMatch(url, "https://172.31.116.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.88*")|| shExpMatch(url, "https://172.31.88.*"))
    return "DIRECT";
 if(isInNet(host, "172.31.88.0", "255.255.252.0"))
    return "DIRECT";
  else
##################################### Redireccion al Proxy############################
    return "PROXY 192.168.2.2:3128";
}

Basicamente los 3 archivos contienen lo mismo, hace mucho que no toco estos archivos, se que se pueden personalizar mucho y es aqui donde se crean las politicas…return "DIRECT";  indica que no sea cacheado lo que aparece dentro de los condicionales. Estos archivos los coloqué en un servidor web dentro de la red, que mas adelante usaremos .

Nota: Utilizar permiso 777 es de mucho riesgo,  aca lo hice por pruebas y nunca lo cambié. No es la mejor practica.

2. Resulta que se puede usar WPAD de dos formas por DHCP y por DNS…

2.1) por DHCP quedaria como en la imagen
http://postimg.org/image/nyqrp619f/]

callezulia

Alguna manera de limitar facebook en un horario determinado. Por ejemplo, quiero que este bloqueado desde 8am a 8pm.

Otra opcion es que el facebook se conecte a baja velocidad…

En espera - Gracias