Bloquear Facebook con Squid transparente
-
compañero esto lo consegui en el foro
Bloquea por medio de regla, en un alias mete los siguientes segmentos que son de facebook.
103.4.96.0/22 173.252.64.0/19 173.252.96.0/19 204.15.20.0/22 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.96.0/19 66.220.144.0/21 66.220.152.0/21 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.255.0/24 69.63.176.0/21 69.63.184.0/21 74.119.76.0/22
Twitter.
199.96.63.0/24 199.16.156.0/22 199.59.148.0/22 199.96.57.0/24
pero sabes de k te sirve bloquear el facebook si se filtra el del youtube yo trate de bloquearlo por ip y me pegaba en google y google driver y maps
saludos checalo
-
Estas bloqueando x IP, google/youtube son del mismo consorcio, me imagino que si estas afectando a google bloqueando los IP de youtube?
-
asi es por lo consiguiente dedusco k no se puede bloquear youtube por ip por k afecta a google :S :-\
-
squid ni modo… a este no se lo brincan ni con garrocha, saludos.
-
La mejor solucion es squid en especifico la version 3. Tomar en cuenta que el uso de squid no transparente es la mejor opcion para establacer este tipo de filtros en redes en producción y si el problemas es configurar clientes estos solos los configuraras una vez usando archivo .pac alojado en tu web local. Saludos
-
Estimados logre hacerlo con los siguientes segmentos de red y las siguientes reglas. :) Ojala les resulte.
 -
mas fácil aun, implementado hace meses sin problemas es Services: DNS forwarder opcion Domain Overrides –> Domain: facebook.com ip: 127.0.0.5 Description: GG Facebook para que no sea posible resolver los dominios de facebook, twitter y bloquear youtube pero sin tocar los demas servicios de google, lo mejor, proxy modo transparente ( en mi caso uso squid+squidguard ).
-
Por qué utilizas la IP 127.0.0.5? A qué equivale?
Gracias
-
es una ip no valida, para que el dominio simplemente no se resuelva
-
Ah ok, según la documentación puedes usar el carácter ! para que no resuelva.
IP address: !
-
mas fácil aun, implementado hace meses sin problemas es Services: DNS forwarder opcion Domain Overrides –> Domain: facebook.com ip: 127.0.0.5 Description: GG Facebook para que no sea posible resolver los dominios de facebook, twitter y bloquear youtube pero sin tocar los demas servicios de google, lo mejor, proxy modo transparente ( en mi caso uso squid+squidguard ).
esto en caso de ser el pfsense el que provea el dns segun entiendo, pero si algun usuario cambia los dns en su equipo..?
a ver, yo tengo bloqueado con reglas por ip, pero desde hace unos 2 meses estoy usando autoconfiguracion de proxy con los archivos wpad y proxy.pac y la verdad ya me he quitado ese dolor de cabeza.. uso como filtro dansguardian. Pero debo cambiar el servidor a un linux+squid+dansguardian ya que el pfsense que uso como proxy me genera errores de conexion al proxy y la navegacion colapsa..
-
es verdad, si te cambian los dns se pierde el control. pero por regla de firewall se puede especificar que únicamente lannet tome DNS de pfsense
-
Tambien es cierto eso…soluciones hay muchas como ya vemos ;D ;D :)
-
es verdad, si te cambian los dns se pierde el control. pero por regla de firewall se puede especificar que únicamente lannet tome DNS de pfsense
o lo que es lo mismo bloquear: todo el trafico TCP saliente hacia el puerto 53 y asignar el DNS via el DHCP del pfSense
Yo en mi red redirijo todo el tráfico de dominios como facebook y otras redes sociales por medio del "DNS Forwarder" hacia un servidor interno que presenta un mensaje acerca de por qué no se pueden ver esas paginas. Creo que es mas elegante y los usuarios ven una página informativa de lo que les pasa.
:) :) :) :) :) :) :) :)
-
¿Sabéis de alguna manera de bloquear a través del DNS Forwader el acceso a webs como por ejemplo Facebook a una determinada hora?
Gracias
-
Saludos mi estimado Bruj0 pfsense+squid sin problema con una acl puede bloquear acceso por hora, dias, ip, url, etc. Estamos a su orden
-
¿Puedes indicarme cómo? Estoy tratando de bloquear el acceso a https://www.facebook.com/ por la mañana y permitirlo por la tarde.
-
Saludos mi estimado no es sencillo del todo ya que deseas hacer un bloqueo de una pagina https la cual normalmente no pasa por squid sino directo ,revisate en google acls combinadas o quizas por separado para tu caso necesitas primeramente hacer un acl que pueda denegar el metodo conect de squid pero solamente para el dominio facebook.com. luego necesitas hacer un acl por horarios por ejemplo si es de lunes a viernes y fines de semana libre o quizas todos los dias de la semana y horas establecidas. luego que tengas claro esa dos acls solo vendria hacer uso de las dos combinadas
aca te dejo en link para que veas un ejemplo de acl por dias y horario http://www.alcancelibre.org/staticpages/index.php/19-4-como-squid-tiempo
Espero te sirva
-
esto en caso de ser el pfsense el que provea el dns segun entiendo, pero si algun usuario cambia los dns en su equipo..?
Si un usuario puede hacer eso y le funciona quiere decir que en su LAN Rules hay alguna regla que permite ir a destinos DNS (TCP/UDP 53) externos.
La "regla de oro" es permitir sólo aquello que sea necesario.
-
saludos es correcto el comentario del maestro bellera los usuarios haran lo que les permitas en las reglas de acceso de su subred. En otras palabras conviene primeramente colocar un dns local bien sea el mismo pfsense haciendo uso de dns forwarder o algun otro fuera de pfsense como por ejemplo bind9 para linux.
Con lo cual el la subred lan colocarias acceso a destino dns solo contra el dns local evitando que estos puedan salir por el dns que prefieran
