Bloquear Facebook con pfsense

Misaal · Jan 20, 2015, 9:20 AM

hola

hace unos dias cambie el Linksys Smart Wi-Fi Router EA6500 por un corta fuegos con pfsense . el corta fuegos hace de router. [modem -> pfsense -> red lan] funciona todo sin problemas. ahora tengo una pregunta, me gustaria configurar el corta fuegos de esta manera: a partir de las 22.00 horas, no se puedan (en concreto 2 iphones)conectar a la pagina web de fecebook. es eso posible?

muchas gracias por la ayuda.

amnarl · Jan 20, 2015, 10:13 AM

Saludos mi estimado con solo pfsense no es posible, debe adicionar el paquete squid y configurar de manera manual acls combinadas en el o adicionar squid+squidguard y en este ultimo puede establecer acls de horarios para los equipos nombrados anteriormente.

Siempre se ha recomendado sobre todo para hacer cache usar squid fuera de pfsense para mayor rendimiento en su caso podria ir bien sobre pfsense ya que solo serian bloqueos o redirecciones.

Estamos a su orden

ptt · Jan 20, 2015, 12:13 PM

@ amnarl

Sí se puede, sólo que es mas complicado/tedioso que con squid, ya que hay que buscar y mantener todas las IP's que utiliza Facebook.

@ Misaal

Utiliza el "Buscador" que si no me falla la memoria se ha tocado el tema con anterioridad…

En el "Sticky: Documentación" tienes, bajo la referencia "Filtrar por IPs de destino" (Rangos de IPs por compañía)

Luego debes Leer/Buscar acerca de "Schedules" para ver cómo "programar" las Reglas de FW

A medida que vayas avanzando, puedes postear aquí tus dudas, y los compañeros te van a orientar/ayudar

Edit:
aquí un hilo que habla del tema "Bloquear FB por IP" https://forum.pfsense.org/index.php?topic=79171

rodria · Jan 20, 2015, 1:16 PM

Lo que te indica ptt es correcto, puedes crear un aliases con todas las subredes de facebook. puedes usar myip.ms para saber sus segmentos.

Deberás crear reglas drop al principio de las reglas del fw en caso de que tengas reglas generales de navegación, de esta manera cualquier consulta que tengan como destino facebook las bloqueará, independientemente del protocolo, y puerto.

Te dejo el link de ejemplo, allí verás todos los segmentos posibles que podría usar Facebook

Saludos

PD. No lo veo tedioso ni difícil :D

amnarl · Jan 20, 2015, 1:01 PM

Correcto compañero PTT es posible con aliasses de esas ips ya se habia mencionado anteriormente solo que algunos no le gusta esa forma y por lo tedioso lo ven muy complicado….

Gracias por la aclaratoria

Misaal · Jan 20, 2015, 1:32 PM

pues muchas gracias. lo mirare aver como funciona. ya ire comentando. pero de momento, me pongo a buscar. gracias!

Misaal · Jan 27, 2015, 8:19 AM

buenos dias señores

muchas gracias por la ayuda y enseñarme la direccion adecuada.
encontre un tutorial muy bueno por la red. lo pongo por si sirve de ayuda a cualquier principiante

http://de.scribd.com/doc/67645487/TALLER-PROXY-configurando-Proxy-en-Pfsense

saludos

rasluis20 · Jan 27, 2015, 9:26 PM

buenas tardes, tengo una duda, realize el bloqueo del facebook por medio de aliases seguido con la respectiva configuracion en rules logrando un excelente bloqueo de facebook, el inconveniente que tengo es que no he podido crear un tipo de bloqueo selectivo ya que algunos de los usuarios si necesitan tener acceso a esta pagina, le agradeceria de antemano a la persona que me pudiera colaborar con este pequeño obstaculo.

rodria · Jan 27, 2015, 9:45 PM

Haz lo mismo, creas un aliases con las IP (porque son reglas de FW) de los usuarios que quieras permitirles la salida, y lo colocas en una regla previa al bloqueo.. tipo:

Protocol: TCP
Source: Aliases_FacebookSi
Destination: Aliases_Facebook_Red
Port: Aliases_Web

Donde Aliases_FacebookSi es una lista de IPs de los Privilegiados (Podrias llamarlos Aliases_Alto_Nivel y lo usas para otras reglas)
Donde Aliases_Facebook_Red son los segmentos que les había indicado revisar en myip.ms
Donde Aliases_Web puede ser un alias de los puertos 80 y 443

Saludos

c_setup · Jan 27, 2015, 10:32 PM

Misaal, gracias por el aporte, muy bien explicado, pero a ti como te fue con la configuración??????

ptt · Jan 27, 2015, 10:33 PM

En realidad, puedes hacer ambas cosas con una misma regla… :o

Cómo ?

Creas un alias (IPs), digamos "jefes" (ya que usualmente las PCs/IP de los "jefes" son las que si pueden utilizar FB)

Luego, modificas la regla de bloqueo de FB que ya tienes creada, y en lugar de utilizar como "Source" "Lan net" utilizas " ! jefes" ("Not" Jefes)… de esa forma tu regla queda: bloquea lo que NO sea Jefes(alias con las IPs de las PCs que puedan salir a FB) con destino a FB (Alisa con las IPs de FB)

De esa forma tienes 2 Reglas en una....

Esto funciona sólo si por "debajo" de la regla de bloqueo tienes una regla "Pass" bastante "permisiva" (que deje pasar http/https a cualquier destino).

rodria · Jan 28, 2015, 11:25 AM

Cierto!!!, puedes usar el Not; pero la experiencia te enseñará a que debes tener una regla solo para los "jefes" porque a medida que pasa el tiempo, surgirán nuevos requerimientos, y es allí donde de manera inexorable tendrás que llegar a establecer una regla exclusiva para los chivos (como decimos en Venezuela a los jefes). ;D

c_setup · Feb 3, 2015, 9:10 PM

Totalmente de acuerdo

rasluis20 · Jan 29, 2015, 1:58 PM

gracias por sus consejos, aplicare estos en mi firewall y les avisare si tengo exito o no. de antemano muchas gracias.

Misaal · Jan 30, 2015, 3:09 PM

@c_setup

pues de momento no me funciona. lo e intentado con el tutorial que comente. al problema que no funciona, se añade el problema que cuando hago pruebas, de repente me pasa todo el trafico del lan por el tunel vpn. (tengo un vpn configurado con ipvanish, solo el televisor pasa por el tunel)
muy extraño….seguire probando...

rasluis20 · Jan 30, 2015, 6:52 PM

muchas gracias ppt me sirvio tu recomendacion, algo muy sencillo pero muy efeciente. gracias nuevamente por la aclaracion.