BLOQUEO DE APLICACION

A Former User

Saludos, tengo bloqueado todo lo que es red sociales y youtube por medio de squid e iptables con pfsense y todo bien pero cuando un equipo móvil inicia la aplicación de la red social y/o del youtube acceden sin problemas, alguien sabe como podría bloquear esto si es por medio de un L7filter?

javcasta

Hola. Otro método para bloquear dominios, es introduciendo mapeos "erroneos" en el servicio de resolución de DNS de pfSense (lógicamente deberás permitir solo como servidor DNS de tu LAN al propio pfSense):

http://www.javcasta.com/blog/seguridad-pfsense-bloqueo-de-sitios-web-anulando-entradas-de-dns-blocking-websites-with-override-dns-entries/
https://doc.pfsense.org/index.php/Blocking_websites

Salu2

A Former User

javcasta, gracias por tu respuesta, efectivamente tengo apuntado que cuando se acceda a youtube apunte al 127.0.0.1, pero por aplicación desde android sale sin problemas.

javcasta

Hola.

Otra forma seria implementar un proxy  (squid) y capar  el dominio de youtube desde el proxy.  La semana que viene puede que postee un tutorial de como instalar squid3 y configurar lo. .. a ver si saco tiempo.

Salu2

A Former User

Gracias por la respuesta pero esas opciones no impiden que se acceda por la app y el proxy no va a bloquearlo por ahí (ya lo probé) pero si sabes como bloquear el l7filter te agradecería.

periko

Puedes mostrar las reglas de tu fw? Si solo tienes habilitada la consulta a tu dns local, deberia funcionar, saludos!!!

javcasta

Hola.

El filtrado en capa de aplicación (capa o nivel  7) o deep packet inspection lo he probado en pfSense, el único handicap que le veo es que suele consumir mucha CPU (por lo que debes tener una máquina para pfSense con HW no muy modesto, un quad-core, ram suficiente) y funciona para capar protocolos de capa 7 (como VNC, rdp, torrent, etc), no para capar dominios (facebook), para esto es más efectivo añadir la simple expresión regular "facebook" a la blacklist de un proxy como squid, o lo ya mencionado antes.

http://www.javcasta.com/blog/seguridad-pfsense-reglas-de-filtrado-de-capa-de-aplicacion-deep-packet-inspection/

Salu2

A Former User

Muchas gracias por el enlace en cuanto a hw si tengo algo mas que suficiente (corei7 octacore) gracias por la info doc saludos.