Firewall + facebook



  • Una consulta yo tengo reglas en el firewall para solo habilitar los puertos q yo quiero 80,110,443, etc.
    Ahora quiero bloquear facebook por reglas de bloqueo de ip, dos dudas:

    Primero tengo q bloquear el rango de ip q utiliza facebook a continuación del bloqueo de puerto ?
    Segundo si quiero habilitar a algunas ips a navegar por facebook tiene q ser a continuación del bloqueo total del facebook?

    Si alguien tiene algún pantallazo de cm bloqueo facebook con este método..

    Atte. gracias…



  • Una opcion serai utilizar squid mas squidguard.

    si no lo desea asi crea un alias con las ips de facebbok despues de esto crea una reglas denegando este alias a toda tu red, y por ENCIMA de esta regla crea otra permitiendo este alias a las ips predefinidas



  • En una sola regla,puedes autorizar y negar el acceso a facebook
    creando,antes, los alias correspondientes!!!

    | proto          source        port  destination    port  gateway
    pass |
        | tcp      !ip-no-permitidas  *      ip-facebook  web    *

    web= es un alias con los puertos:80 y 443

    Un usuario del foro,había echo algo similar, para bloquer el acceso a los servidores de msn.



  • Tienes algun pantallazo para ser mas explicito por favor-..
    atte.



  • De esta forma funciona mejor!!!!

    | proto          source        port  destination    port  gateway
    block|
        | tcp      !ip_permitidas      *    facebook      https    *

    | proto        source        port    destination    port  gateway
    block|
        | tcp      !ip_permitidas    *      facebook2      https    *

    Alias:

    ip_permitidas:todas las ips con autorización a visitar facebook.

    facebook: net 69.63.176.0/20

    facebook2: 66.220.144.0/20



  • Ase deja mis reglas solo me falta deshabilitar la primera para q queden funcionando las siguientes..

    Algún Aporte o comentario se aceptan y consideran…

    Al dejar esa reglas solo debiese esta habilitado el trafico por esos puertos solamente, y bloqueado la navegación hacia el facebook..
    Una duda no hay problemas entre la reglas tercera y las dos ultimas por lo del puerto 443, y lo otro solo basta con aplicar o mejor reiniciar el equipo PFsense.

    Atte.



  • Creo que deberías abrir otro topic…
    Pero te digo que la primera regla permite todo!!! si la dejas,las demás son innecesarias.

    PD: NO te olvides de no mostrar datos,configuraciones, sensibles!!!!



  • Si por eso apenas este seguro sobre el resto de las reglas deshabilito la primera….



  • Las reglas de bloqueo deben ir por encima de las reglas que permiten ya que arriba estas pemitiendo arriba https entonces la de la ip con https no va a ser validada



  • Colocando  las reglas de bloqueo de facebook funciono perfectamente, pero antes los muchos reclamos tuve q deshabilitarlas..
    Lo ultimo habilitando solo los puertos q quise el resto de puertos quedan bloqueados por defecto..digo por el ares…

    Atte.



  • estoy trantando de realizar este bloqueo por firewall, pero es casi imposible debido a que facebook, ha aumentado el dumero de ip que tiene asignadas. anteriormente veiamos que era
    facebook: net 69.63.176.0/20

    facebook2: 66.220.144.0/20

    ahora hagan un nslookup www.facebok.com

    no se si tenga yo un error y solo habilitando el bloqueo para estas 2 ip me bloquee pero deberiamos postear una nueva lista de las ip de facebook de todas formas tratare de ubicarlas y postearlas. para ayuda de todos…



  • Error de concepto….
    al bloquear 69.63.176.0/20, bloqueas una net ,4096 hosts (1048576 subnets)
    lo mismo con 66.220.144.0/20

    http://www.subnet-calculator.com/cidr.php



  • buen dato, men muchas gracias.  ;)



  • buenos dias, trate de realizar la reglas para bloquear el facebook
    desabilite la regla 443, en la imagen esta habilitada, pero se que debe ir desabilitada
    el problema que cuando desabilite el 433 no me entro a ninguna web segura, demen una orientacion



  • De esta forma va a funcionar mejor,las reglas de bloqueo primero.

    proto    source    port    destino    port  gateway
    pass    udp    lannet    *    lanaddress  53        *    (1)
    block  tcp    lannet    *    facebook    https    *    (2)
    block  tcp    lannet    *        *        1863      *    (3)
    block  tcp    lannet    *        *          901      *
    block  tcp    lannet    *        *        6891-6900 *
    pass    tcp    lannet    *        *          443      *    (4)
    pass    tcp    lannet    *        *          80      *
    pass    tcp    lannet    *        *          mail    *    (5)
    pass    tcp    lannet    *        *          995      * 
    pass    tcp    lannet    *        *          465      *
    pass    tcp    lannet    *        *          8080    *
    pass    tcp    lannet    *        *          ssh    *

    (1)para que use, los dns ingresados en tu configuración.
    (2) crea un alias,con las dos net a bloquear
    (3) si la regla que permite todo esta,deshabilitada,las reglas para bloquear msn no serian,necesarias…
    (4)puedes crear un alias llamado web con el puerto 443,80 y la regla siguiente no sería necesaria
    (5)mail=alias con el puerto 25,110;yo en destino pongo la ip de del servidor de correo de mi isp



  • @gerar2:

    buenos dias, trate de realizar la reglas para bloquear el facebook
    desabilite la regla 443, en la imagen esta habilitada, pero se que debe ir desabilitada
    el problema que cuando desabilite el 433 no me entro a ninguna web segura, demen una orientacion

    no coloque o no dije que active la regla para bloquear la sub redes como me lo indicaste y de todas formas, se entro mediante https.



  • no coloque o no dije que active la regla para bloquear la sub redes como me lo indicaste y de todas formas, se entro mediante https.

    NO Entiendo que es lo que quieres hacer??
    UNA regla redactada correctamente,puesta en el orden incorrecto,no sirve de nada!!



  • disculpame cuando postie ayer ya esta mas que dormido..
    oks lo que quise decir, fue que:
    hice la regla con alias como me indicaste colocado las 2 direcciones facebook anteriormente mencionadas.
    TCP  LAN net  *  ipsfacebook  443 (HTTPS)  *      BLOCK FACEBOOK
    habilito pero aun sigo entrando a la web con https:www.facebook.com
    lo que no consigo es mover la regla hasta arriba como tambien me lo indicaste…
    tambien quiero que me dejes claro si la regla:
    TCP  LAN net  *  *  443 (HTTPS)  *      HTTPS 
    la dejo habilitada o la desabilito, tengo entendido que se desabilito todas las https no podran navegar
    espero tu pornta respuesta y gracias de antemanos



  • Las reglas de bloqueo,van primero.
    Primero bloquea facebook(https),para todos,pero luego tienes que permitir https,para otros sitios.

    Selecciona las reglas de bloqueo(se pone el fondo amarillo)

    luego vas a la regla ftp (segunda desde arriba,si no hiciste cambios!)
    sobre la derecha,al lado del botón editar(e) hay un triangulo,al colocar el puntero sobre el,se ve el
    mesaje"Move selected rules before this rule"al pulsarlo las reglas que habías seleccionado pasan a quedar delante!!!

    PD:la regla DNS,tine que tener un destino,debe ser landdress



  • bueno, la regla resulto un extito total, pero ahora tengo otro inconveniente, resulta;
    que tengo 2 tipos de usuarios 1) con restricciones 2) sin restricciones, como hago para que algunos usuarios de la red, puedan ingresar al face
    se que puedo hacerlo con un alias, pero nuvamente necesito una orientacion…
    saludos, esta regla estara escrita en mi libro de notas..
    jejej saludos



  • Crea una alias, con las ips o lan ,de los usuarios, que van a poder visitar fb.
    Luego, modifica la regla,que bloquea fb, para que quede como lo descripto en el post #4 de este hilo

    proto      source        port  destino    puerto  gateway
    block
          tcp    !ip-permitidas      *    facebook    https    *



  • men disculpa, pero es para corroborar,
    las ip permitidas tengo que hacerlas en un alias???



  • @LEPM:

    De esta forma va a funcionar mejor,las reglas de bloqueo primero.

    proto    source    port    destino     port   gateway
    pass    udp     lannet     *     lanaddress   53        *     (1)
    block   tcp     lannet     *     facebook     https     *     (2)
    block   tcp     lannet     *        *         1863      *     (3)
    block   tcp     lannet     *        *          901      *
    block   tcp     lannet     *        *         6891-6900 *
    pass    tcp     lannet     *        *          443      *     (4)
    pass    tcp     lannet     *        *           80      *
    pass    tcp     lannet     *        *           mail    *     (5)
    pass    tcp     lannet     *        *          995      * 
    pass    tcp     lannet     *        *          465      *
    pass    tcp     lannet     *        *          8080     *
    pass    tcp     lannet     *        *           ssh     *

    (3) si la regla que permite todo esta,deshabilitada,las reglas para bloquear msn no serian,necesarias…
    men disculpa pero con todo y las reglas que tengo habilitadas el windows live messenger sigue conectando. por ejemplo acabo de hacer un netstat -a
    y observe varias lineas pero la que me llamo la atencion fue la siguiente
    by2msg1204114.gateway.edge.messenger.live.com.html y otras 2 mas..



  • @LEPM:

    Crea una alias, con las ips o lan ,de los usuarios, que van a poder visitar fb.
    Luego, modifica la regla,que bloquea fb, para que quede como lo descripto en el post #4 de este hilo

    proto       source         port   destino     puerto   gateway
    block
          tcp    !ip-permitidas       *     facebook     https     *

    men tengo esta regla pero las pc no se me conecta, el explorador se me queda cargando
    y abajo el mozilla dice conectando a www.facebook.com, esta es la regla men
    TCP  ip_permitidas  *  Facebook  443 (HTTPS)  *      BLOCK FACEBOOK

    hice un alias llamado ip_permitidas en el cual solo esta mi ip



  • @gerar2:

    TCP  ip_permitidas  *  Facebook  443 (HTTPS)  *      BLOCK FACEBOOK

    hice un alias llamado ip_permitidas en el cual solo esta mi ip

    cr! cr! cr!



  • men que es cr! no entiendo????



  • @LEPM:

    @gerar2:

    TCP  ip_permitidas  *  Facebook  443 (HTTPS)  *      BLOCK FACEBOOK

    hice un alias llamado ip_permitidas en el cual solo esta mi ip

    cr! cr! cr!

    men aun no me funciona, soloco en las ip permitidas la ip de mi pc y no puedo entrar al facebook,
    estoy visualizando una falla o no se si se llame asi, desde http:facebook trato de entrar y cuando le logueo se queda cargando…
    hechenme una ayuda......



  • Podria ser que facebook utiliza otrea url en el intento de autenticacion.



  • LEPM hola men, en realidad que la regla en si si me funciona, me bloquea el entrar a la pagina https:www.facebook.com
    tambien cuando me autentico en http:www.facebook.com no pasa de ahi ya que se queda en login.facebook.com
    la regla esta perfecta, pero lo que no me sirve es cuando pongo las ip permitidas, aunque no estoy claro si bloqueo, abro, el puerto
    espero porfavor tu respuesta para porfin resolver



  • En el post #4 sigue estando la respuesta!!! ;)

    Pudes ver, mas en detalle,la sintaxis, de las reglas de pf aquí

    tip: en FF ctl+f  ! enter  F3,F3 ;)

    en !ptables t!ene el m!smo s!gn!f!cado !!!  ;)



  • men esta es la regla que tengo yo
    subir imagenes
    en el alias facebook
    66.220.144.0/20
    69.63.176.0/20

    en el alias ip_permitidas
    esta la direccion de mi maquina

    creo que toda la regla esta bien, es mas funciona lo que no me funciona es mi pc no puede ingresar a la pagina http:facebook y que se queda autenticando
    en https: la regla funciona perfectamente..
    ven mi captura de pantalla.



  • Esto no da para mas!!

    Por favor cierren este topic!!



  • hagan lo que quieran con el topic.
    pero estamos en un foro, con el cual ayudamos a mas personas.
    simplemente es una duda, que puedo tener yo, otros, muchos..



  • perdon por reflotar el  tema. pero he buscado 1000 maneras
    para bloquear la reglas estan perfectas pero para liberar para algunas maquinas no me corre
    TCP servidores * facebook 443 (HTTPS) *   block facebook1

    TCP servidores * facebook2 443 (HTTPS) *   block facebook2

    servidores: es un alias con 2 ip de la red con cual hago las pruebas
    facebook  y facebook2 son 2 alias con 66.220.144.0/20
    69.63.176.0/20


Locked