Bloquear Facebook con Squid transparente

trasher

Que tal a todos,

Tengo funcionando el proxy sin mayores complicaciones en 5 maquinas.

Ahora, he estado buscando una manera de bloquear el bendito Facebook, he visto varios manuales,

Pero hasta ahorita no he podido encontrar una solucion.

Periko, Bellera o alguno que me pueda dar un norte para encontrarle una solucion a este problema ?

Saludos a todos!

juancho

Bloquealo por las ip, ya que si uno usa el proxy de forma transparente no te filtra contenido https (creo haber leido que squid 3 si lo hace) y por alli se cuelan las conexiones a facebook, youtube, etc… Estas reglas de bloquedo deben ir primero...

aqui te dejo como los tengo.. los alias y las reglas

reglas.png_thumb

alias.png_thumb

trasher

Ya quedo, gracias!

amnarl

Saludos mi estimado tomarl en cuenta el orden de las reglas cuando el bloqueo es por firewall solamente, como siempre estos bloqueos son mejor realizarlos a traves de squid en modo no transparente y para solucionar el problema de autoconfiguracion en clientes en caso de cambio en las misma usar configuracion a traves de archivo proxy.pac Estamos a la orden

mellomx

compañero esto lo consegui en el foro

Bloquea por medio de regla, en un alias mete los siguientes segmentos que son de facebook.

103.4.96.0/22 173.252.64.0/19 173.252.96.0/19 204.15.20.0/22 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.96.0/19 66.220.144.0/21 66.220.152.0/21 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.255.0/24 69.63.176.0/21 69.63.184.0/21 74.119.76.0/22

Twitter.

199.96.63.0/24 199.16.156.0/22 199.59.148.0/22 199.96.57.0/24

pero sabes de k te sirve bloquear el facebook si se filtra el del youtube yo trate de bloquearlo por ip y me pegaba en google y google driver y maps

saludos checalo

periko

Estas bloqueando x IP, google/youtube son del mismo consorcio, me imagino que si estas afectando a google bloqueando los IP de youtube?

mellomx

asi es por lo consiguiente dedusco k no se puede bloquear youtube por ip por k afecta a google :S :-\

periko

squid ni modo… a este no se lo brincan ni con garrocha, saludos.

amnarl

La mejor solucion es squid en especifico la version 3. Tomar en cuenta que el uso de squid no transparente es la mejor opcion para establacer este tipo de filtros en redes en producción y si el problemas es configurar clientes estos solos los configuraras una vez usando archivo .pac alojado en tu web local. Saludos

sibanez

Estimados logre hacerlo con los siguientes segmentos de red y las siguientes reglas. :) Ojala les resulte.

![](http://Segmentos FB.JPG)

![](http://Regla LAN.JPG)

![](http://Regla WAN.JPG)

![Regla LAN.JPG](/public/imported_attachments/1/Regla LAN.JPG)
![Regla LAN.JPG_thumb](/public/imported_attachments/1/Regla LAN.JPG_thumb)
![Regla WAN.JPG](/public/imported_attachments/1/Regla WAN.JPG)
![Regla WAN.JPG_thumb](/public/imported_attachments/1/Regla WAN.JPG_thumb)
![Segmentos FB.JPG](/public/imported_attachments/1/Segmentos FB.JPG)
![Segmentos FB.JPG_thumb](/public/imported_attachments/1/Segmentos FB.JPG_thumb)

Sudwind

mas fácil aun, implementado hace meses sin problemas es Services: DNS forwarder opcion Domain Overrides –> Domain: facebook.com ip: 127.0.0.5 Description: GG Facebook para que no sea posible resolver los dominios de facebook, twitter y bloquear youtube pero sin tocar los demas servicios de google, lo mejor, proxy modo transparente ( en mi caso uso squid+squidguard ).

Bruj0

Por qué utilizas la IP 127.0.0.5? A qué equivale?

Gracias

Sudwind

es una ip no valida, para que el dominio simplemente no se resuelva

Bruj0

Ah ok, según la documentación puedes usar el carácter ! para que no resuelva.

IP address: !

juancho

@Sudwind:

mas fácil aun, implementado hace meses sin problemas es Services: DNS forwarder opcion Domain Overrides –> Domain: facebook.com ip: 127.0.0.5 Description: GG Facebook para que no sea posible resolver los dominios de facebook, twitter y bloquear youtube pero sin tocar los demas servicios de google, lo mejor, proxy modo transparente ( en mi caso uso squid+squidguard ).

esto en caso de ser el pfsense el que provea el dns segun entiendo, pero si algun usuario cambia los dns en su equipo..?

a ver, yo tengo bloqueado con reglas por ip, pero desde hace unos 2 meses estoy usando autoconfiguracion de proxy con los archivos wpad y proxy.pac y la verdad ya me he quitado ese dolor de cabeza.. uso como filtro dansguardian. Pero debo cambiar el servidor a un linux+squid+dansguardian ya que el pfsense que uso como proxy me genera errores de conexion al proxy y la navegacion colapsa..

Sudwind

es verdad, si te cambian los dns se pierde el control. pero por regla de firewall se puede especificar que únicamente lannet tome DNS de pfsense

juancho

Tambien es cierto eso…soluciones hay muchas como ya vemos ;D ;D :)

Ricardozam

@Sudwind:

es verdad, si te cambian los dns se pierde el control. pero por regla de firewall se puede especificar que únicamente lannet tome DNS de pfsense

o lo que es lo mismo bloquear: todo el trafico TCP saliente hacia el puerto 53 y asignar el DNS via el DHCP del pfSense

Yo en mi red redirijo todo el tráfico de dominios como facebook y otras redes sociales por medio del "DNS Forwarder" hacia un servidor interno que presenta un mensaje acerca de por qué no se pueden ver esas paginas. Creo que es mas elegante y los usuarios ven una página informativa de lo que les pasa.

:) :) :) :) :) :) :) :)

Bruj0

¿Sabéis de alguna manera de bloquear a través del DNS Forwader el acceso a webs como por ejemplo Facebook a una determinada hora?

Gracias

amnarl

Saludos mi estimado Bruj0 pfsense+squid sin problema con una acl puede bloquear acceso por hora, dias, ip, url, etc. Estamos a su orden