Bloqueio do facebook HTTPS

frdias

Vou mostrar o que fiz para bloquear acesso ao famigerado >:(FACEBOOK >:(, seja HTTP ou HTTPS. Parece meio neurótico, mas é assim mesmo que tem que ser em empresas.
Squid3 transparente, SquidGuard e SARG.
Bom, vamos lá:
1- primeiramente, o bloqueio vem pelo Antivirus TRENDMICRO onde bloqueio as categorias de redes sociais, porém ele só bloqueia HTTP. Para HTTPS abaixo vou listar as formas que uso .
2- Criação de aliás com as redes do facebook;
https://drive.google.com/file/d/0B18eBNC7okQmaFlybnl6XzFNOVk/view
https://drive.google.com/open?id=0B18eBNC7okQmTG1pNlNidHhvalk
<name>BloqueioFB</name>

3- Criação de um álias com a lista de ip's que quero liberar o acesso;
4- Criação da regra de firewall bloqueando o álias criado;
5- Criação da regra de firewall liberando o acesso ao álias da lista de ips liberados;
https://drive.google.com/open?id=0B18eBNC7okQmRlVrZGI4VS03Skk
Só isso já basta pra bloquear totalmente o acesso. Até para os smartphones que por ventura acessarem a rede wifi que estiver na mesma faixa de rede, enfim, só vai navegar se o endereço ip estiver na lista de liberados.

Mas não me dei por satisfeito e implementei mais umas coisinhas.
1- Criação de horários na aba times para liberar o tal face em horário especifico;
2- Criação de categoria, bloqueando por dominio, url e expressão;
https://drive.google.com/open?id=0B18eBNC7okQmalNwXzY4R3FlSDg
3- Criação de grupo ACL onde libero o face nos horários pré-determinados na regra anterior;
https://drive.google.com/open?id=0B18eBNC7okQmRzQ3Qk0yZUZLXzA
https://drive.google.com/open?id=0B18eBNC7okQmRG9QNVF5S1ctbmM
4- Finalmente o bloqueio por categorias no horario comercial . Blacklist Shallalist editada por mim.
https://drive.google.com/open?id=0B18eBNC7okQmQWw4czFMSjl3T3M
5- Pra conferir os acessos o SARG;
https://drive.google.com/open?id=0B18eBNC7okQmbUFlRXVUU1g0dDA

Essa é a solução que uso aqui na empresa. Espero que sirva para ajudar mais usuarios do pfsense com o mesmo problema. Quaisquer dúvidas, criticas ou sugestões são bem aceitas.

andretoniate

Francisco, boa tarde.

Aqui na empresa estou com problemas para permitir ou bloquear o acesso, o firewall blqueia mesmo que a regra libera o acesso any to any

O estranho é, o firewall registra o ip de acesso diferente das redes do facebook (cidr), por exemplo, acabei de tentar o acesso e o firewall efetuou o bloqueio dos ips de destino 201.6.5.72:443 e 201.6.5.55:443 com isso a pagina carregou desconfigurada conforme anexo.

Voce ja teve este problema?

![Pagina Facebook desconfigurada.png](/public/imported_attachments/1/Pagina Facebook desconfigurada.png)
![Pagina Facebook desconfigurada.png_thumb](/public/imported_attachments/1/Pagina Facebook desconfigurada.png_thumb)

frdias

Sim, já aconteceu, quando eu usava o proxy no navegador. nao tenho certeza do que pode ser. talvez cache. atualmente nao tenho tido mais esse problema. olha as figuras das minhas regras, e deixa igual, tem que funcionar. Pode alguem estar usando algo do tipo Ultrasurf tb.

Minha rede é toda via dhcp onde a rede é configurada com dns, gateway automaticamente, mascara /23 e tudo passa pelo pfsense pra poder sair direto só se eu colocar o ip no Bypass Proxy do Squid, e mesmo usando dhcp eu ainda reservo os ips o que faz com que todas maquinas que logam no Active diretory sempre tenham o mesmo ip e fica mais facil de controlar. Só nao testei ainda com o ultrasurf dessas versoes novas se ta passando.

tomaswaldow

Com proxy ativo é muito simples bloquear…

jvicente

@andretoniate:

Francisco, boa tarde.

Aqui na empresa estou com problemas para permitir ou bloquear o acesso, o firewall blqueia mesmo que a regra libera o acesso any to any

O estranho é, o firewall registra o ip de acesso diferente das redes do facebook (cidr), por exemplo, acabei de tentar o acesso e o firewall efetuou o bloqueio dos ips de destino 201.6.5.72:443 e 201.6.5.55:443 com isso a pagina carregou desconfigurada conforme anexo.

Voce ja teve este problema?

Explique melhor seu cenário para podermos ver onde vc esta errando e poder lhe ajudar de forma direta.

isaiasbertin

bloquei sem problemas o facebook, mas utiliza o proxy automatico na sua rede com wpad e tudo vai dar certo.

andretoniate

@jvicente:

Explique melhor seu cenário para podermos ver onde vc esta errando e poder lhe ajudar de forma direta.

jvicente,

Estou usando Squid 2.7 + squidGuard com proxy transparente

Gostaria de liberar ou bloquear o facebook pelo firewall, porém além dos ips informado pelo nosso amigo Francisco Dias, registrei outros ips quando tento acessar https://pt-br.facebook.com por uma estacao, e os ips são bloqueados 200.174.107.27:443, 200.174.107.34:443

Alem de criar o Aliases com a CIDR do facebook e incrementei os ips identificados tbm, a regra esta acima de todas e valendo para alguns ips que estou testando, no caso a mesma estacao.

No aliases inseri a rede 200.174.107.0/24 para bloquear ou liberar dependendo do caso, no caso de bloqueio o firewall registra que foi bloqueado mas a pagina exibe desconfigurada

Quando configuro a regra para liberar, a pagina carrega normal, e alguns ips passam outros são bloqueados conforme imagem

![log firewall ao acessar facebook.PNG_thumb](/public/imported_attachments/1/log firewall ao acessar facebook.PNG_thumb)
![log firewall ao acessar facebook.PNG](/public/imported_attachments/1/log firewall ao acessar facebook.PNG)

fernandofolha

IPs do Facebook:

204.15.20.0/22
69.63.176.0/20
66.220.144.0/20
66.220.144.0/21
69.63.184.0/21
69.63.176.0/21
74.119.76.0/22
69.171.255.0/24
173.252.64.0/18
69.171.224.0/19
69.171.224.0/20
103.4.96.0/22
69.63.176.0/24
173.252.64.0/19
173.252.70.0/24
31.13.64.0/18
31.13.24.0/21
66.220.152.0/21
66.220.159.0/24
69.171.239.0/24
69.171.240.0/20
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.74.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.96.0/19
31.13.66.0/24
173.252.96.0/19
69.63.178.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.88.0/24
31.13.89.0/24
31.13.90.0/24
31.13.91.0/24
31.13.92.0/24
31.13.93.0/24
31.13.94.0/24
31.13.95.0/24
69.171.253.0/24
69.63.186.0/24
31.13.81.0/24
179.60.192.0/22
179.60.192.0/24
179.60.193.0/24
179.60.194.0/24
179.60.195.0/24
185.60.216.0/22
45.64.40.0/22
185.60.216.0/24
185.60.217.0/24
185.60.218.0/24
185.60.219.0/24
129.134.0.0/16
157.240.0.0/16
204.15.20.0/22
69.63.176.0/20
69.63.176.0/21
69.63.184.0/21
66.220.144.0/20
69.63.176.0/20

IPs do Twitter:

199.96.56.0/24
199.96.57.0/24
199.16.156.0/22
199.59.148.0/22
192.133.76.0/22
192.133.76.0/23
199.96.59.0/24
199.96.58.0/24
199.96.63.0/24
199.96.56.0/21
103.252.112.0/22
103.252.114.0/23
185.45.4.0/23
199.96.62.0/23
199.96.58.0/23
185.45.6.0/23
192.44.68.0/23
192.48.236.0/23
69.12.56.0/21
104.244.40.0/21
104.244.42.0/24
103.252.112.0/23
104.244.43.0/24
185.45.5.0/24
185.45.4.0/24
199.16.156.0/22
199.96.57.0/24
199.96.63.0/24
192.133.76.0/22
8.25.194.0/23
199.96.61.0/24
192.133.78.0/23
199.96.59.0/24
8.25.196.0/23
199.96.60.0/24
199.96.56.0/24
199.96.58.0/24
199.59.148.0/22
199.96.56.0/21
192.133.76.0/23
8.25.195.0/24
8.25.194.0/24
8.25.197.0/24
8.25.196.0/24
103.252.114.0/23
103.252.112.0/23
103.252.112.0/22

IPs do WhatsApp:

31.13.64.51/32
31.13.65.49/32
31.13.66.49/32
31.13.67.51/32
31.13.68.52/32
31.13.69.240/32
31.13.70.49/32
31.13.71.49/32
31.13.72.52/32
31.13.73.49/32
31.13.74.49/32
31.13.75.52/32
31.13.76.81/32
31.13.77.49/32
31.13.78.53/32
31.13.79.195/32
31.13.80.53/32
31.13.81.53/32
31.13.82.51/32
31.13.83.51/32
31.13.84.51/32
31.13.85.51/32
31.13.86.51/32
31.13.87.51/32
31.13.88.49/32
31.13.90.51/32
31.13.91.51/32
31.13.92.52/32
31.13.93.51/32
31.13.94.52/32
31.13.95.63/32
50.22.198.204/30
50.22.210.32/30
50.22.210.128/27
50.22.225.64/27
50.22.235.248/30
50.22.240.160/27
50.23.90.128/27
50.97.57.128/27
75.126.39.32/27
108.168.174.0/27
108.168.176.192/26
108.168.177.0/27
108.168.180.96/27
108.168.254.65/32
108.168.255.224/32
108.168.255.227/32
158.85.0.96/27
158.85.5.192/27
158.85.46.128/27
158.85.48.224/27
158.85.58.0/25
158.85.61.192/27
158.85.224.160/27
158.85.233.32/27
158.85.249.128/27
158.85.249.224/27
158.85.254.64/27
169.44.36.0/25
169.44.57.64/27
169.44.58.64/27
169.44.80.0/26
169.44.82.96/27
169.44.82.128/27
169.44.82.192/26
169.44.83.0/26
169.44.83.96/27
169.44.83.128/27
169.44.83.192/26
169.44.84.0/24
169.44.85.64/27
169.45.71.32/27
169.45.71.96/27
169.45.87.128/26
169.45.169.192/27
169.45.182.96/27
169.45.210.64/27
169.45.214.224/27
169.45.219.224/27
169.45.237.192/27
169.45.238.32/27
169.53.29.128/27
169.53.48.32/27
169.53.71.224/27
169.53.250.128/26
169.53.252.64/27
169.53.255.64/27
169.54.2.160/27
169.54.44.224/27
169.54.51.32/27
169.54.55.192/27
169.54.193.160/27
169.54.210.0/27
169.54.222.128/27
169.55.69.128/26
169.55.74.32/27
169.55.126.64/26
169.55.210.96/27
169.55.235.160/27
173.192.162.32/27
173.192.219.128/27
173.192.222.160/27
173.192.231.32/27
173.193.205.0/27
173.193.230.96/27
173.193.230.128/27
173.193.230.192/27
173.193.239.0/27
174.36.208.128/27
174.36.210.32/27
174.36.251.192/27
174.37.199.192/27
174.37.217.64/27
174.37.231.64/27
174.37.243.64/27
174.37.251.0/27
179.60.192.51/32
179.60.193.51/32
179.60.195.51/32
184.173.136.64/27
184.173.147.32/27
184.173.161.64/32
184.173.161.160/27
184.173.173.116/32
184.173.179.32/27
185.60.216.53/32
192.155.212.192/27
198.11.193.182/31
198.11.251.32/27
198.23.80.0/27
208.43.115.192/27
208.43.117.79/32
208.43.122.128/27

Basta criar um ALIAS para cada um dos indesejados (face, twitter, whatsapp), criar uma regra de firewall liberando os IPs permitidos (diretoria, por exemplo) e na regra seguinte bloquear estes destinos.

Divirtam-se… ;)

Todos os IPs do Whats App podem ser pegos aqui:
https://www.whatsapp.com/cidr.txt
Dá para criar um alias por url e não ter que entrar com todos os IPs na mão. Será que existe algo parecido para facebook e Twitter?

andretoniate

@x-ecuter:

Dá para criar um alias por url e não ter que entrar com todos os IPs na mão. Será que existe algo parecido para facebook e Twitter?

Não precisa entrar com todos os IPs na mão, utilize a opção Bulk import aliases from list em Firewall: Aliases