Firewall + facebook

locopepo

Una consulta yo tengo reglas en el firewall para solo habilitar los puertos q yo quiero 80,110,443, etc.
Ahora quiero bloquear facebook por reglas de bloqueo de ip, dos dudas:

Primero tengo q bloquear el rango de ip q utiliza facebook a continuación del bloqueo de puerto ?
Segundo si quiero habilitar a algunas ips a navegar por facebook tiene q ser a continuación del bloqueo total del facebook?

Si alguien tiene algún pantallazo de cm bloqueo facebook con este método..

Atte. gracias…

leoalfa09

Una opcion serai utilizar squid mas squidguard.

si no lo desea asi crea un alias con las ips de facebbok despues de esto crea una reglas denegando este alias a toda tu red, y por ENCIMA de esta regla crea otra permitiendo este alias a las ips predefinidas

LEPM

En una sola regla,puedes autorizar y negar el acceso a facebook
creando,antes, los alias correspondientes!!!

| proto          source        port  destination    port  gateway
pass |
    | tcp      !ip-no-permitidas  *      ip-facebook  web    *

web= es un alias con los puertos:80 y 443

Un usuario del foro,había echo algo similar, para bloquer el acceso a los servidores de msn.

locopepo

Tienes algun pantallazo para ser mas explicito por favor-..
atte.

LEPM

De esta forma funciona mejor!!!!

| proto          source        port  destination    port  gateway
block|
    | tcp      !ip_permitidas      *    facebook      https    *

| proto        source        port    destination    port  gateway
block|
    | tcp      !ip_permitidas    *      facebook2      https    *

Alias:

ip_permitidas:todas las ips con autorización a visitar facebook.

facebook: net 69.63.176.0/20

facebook2: 66.220.144.0/20

locopepo

Ase deja mis reglas solo me falta deshabilitar la primera para q queden funcionando las siguientes..

Algún Aporte o comentario se aceptan y consideran…

Al dejar esa reglas solo debiese esta habilitado el trafico por esos puertos solamente, y bloqueado la navegación hacia el facebook..
Una duda no hay problemas entre la reglas tercera y las dos ultimas por lo del puerto 443, y lo otro solo basta con aplicar o mejor reiniciar el equipo PFsense.

Atte.

LEPM

Creo que deberías abrir otro topic…
Pero te digo que la primera regla permite todo!!! si la dejas,las demás son innecesarias.

PD: NO te olvides de no mostrar datos,configuraciones, sensibles!!!!

locopepo

Si por eso apenas este seguro sobre el resto de las reglas deshabilito la primera….

leoalfa09

Las reglas de bloqueo deben ir por encima de las reglas que permiten ya que arriba estas pemitiendo arriba https entonces la de la ip con https no va a ser validada

locopepo

Colocando  las reglas de bloqueo de facebook funciono perfectamente, pero antes los muchos reclamos tuve q deshabilitarlas..
Lo ultimo habilitando solo los puertos q quise el resto de puertos quedan bloqueados por defecto..digo por el ares…

Atte.

gerar2

estoy trantando de realizar este bloqueo por firewall, pero es casi imposible debido a que facebook, ha aumentado el dumero de ip que tiene asignadas. anteriormente veiamos que era
facebook: net 69.63.176.0/20

facebook2: 66.220.144.0/20

ahora hagan un nslookup www.facebok.com

no se si tenga yo un error y solo habilitando el bloqueo para estas 2 ip me bloquee pero deberiamos postear una nueva lista de las ip de facebook de todas formas tratare de ubicarlas y postearlas. para ayuda de todos…

LEPM

Error de concepto….
al bloquear 69.63.176.0/20, bloqueas una net ,4096 hosts (1048576 subnets)
lo mismo con 66.220.144.0/20

http://www.subnet-calculator.com/cidr.php

gerar2

buen dato, men muchas gracias.  ;)

gerar2

buenos dias, trate de realizar la reglas para bloquear el facebook
desabilite la regla 443, en la imagen esta habilitada, pero se que debe ir desabilitada
el problema que cuando desabilite el 433 no me entro a ninguna web segura, demen una orientacion

LEPM

De esta forma va a funcionar mejor,las reglas de bloqueo primero.

proto    source    port    destino    port  gateway
pass    udp    lannet    *    lanaddress  53        *    (1)
block  tcp    lannet    *    facebook    https    *    (2)
block  tcp    lannet    *        *        1863      *    (3)
block  tcp    lannet    *        *          901      *
block  tcp    lannet    *        *        6891-6900 *
pass    tcp    lannet    *        *          443      *    (4)
pass    tcp    lannet    *        *          80      *
pass    tcp    lannet    *        *          mail    *    (5)
pass    tcp    lannet    *        *          995      * 
pass    tcp    lannet    *        *          465      *
pass    tcp    lannet    *        *          8080    *
pass    tcp    lannet    *        *          ssh    *

(1)para que use, los dns ingresados en tu configuración.
(2) crea un alias,con las dos net a bloquear
(3) si la regla que permite todo esta,deshabilitada,las reglas para bloquear msn no serian,necesarias…
(4)puedes crear un alias llamado web con el puerto 443,80 y la regla siguiente no sería necesaria
(5)mail=alias con el puerto 25,110;yo en destino pongo la ip de del servidor de correo de mi isp

gerar2

@gerar2:

buenos dias, trate de realizar la reglas para bloquear el facebook
desabilite la regla 443, en la imagen esta habilitada, pero se que debe ir desabilitada
el problema que cuando desabilite el 433 no me entro a ninguna web segura, demen una orientacion

no coloque o no dije que active la regla para bloquear la sub redes como me lo indicaste y de todas formas, se entro mediante https.

LEPM

no coloque o no dije que active la regla para bloquear la sub redes como me lo indicaste y de todas formas, se entro mediante https.

NO Entiendo que es lo que quieres hacer??
UNA regla redactada correctamente,puesta en el orden incorrecto,no sirve de nada!!

gerar2

disculpame cuando postie ayer ya esta mas que dormido..
oks lo que quise decir, fue que:
hice la regla con alias como me indicaste colocado las 2 direcciones facebook anteriormente mencionadas.
TCP  LAN net  *  ipsfacebook  443 (HTTPS)  *      BLOCK FACEBOOK
habilito pero aun sigo entrando a la web con https:www.facebook.com
lo que no consigo es mover la regla hasta arriba como tambien me lo indicaste…
tambien quiero que me dejes claro si la regla:
TCP  LAN net  *  *  443 (HTTPS)  *      HTTPS 
la dejo habilitada o la desabilito, tengo entendido que se desabilito todas las https no podran navegar
espero tu pornta respuesta y gracias de antemanos

LEPM

Las reglas de bloqueo,van primero.
Primero bloquea facebook(https),para todos,pero luego tienes que permitir https,para otros sitios.

Selecciona las reglas de bloqueo(se pone el fondo amarillo)

luego vas a la regla ftp (segunda desde arriba,si no hiciste cambios!)
sobre la derecha,al lado del botón editar(e) hay un triangulo,al colocar el puntero sobre el,se ve el
mesaje"Move selected rules before this rule"al pulsarlo las reglas que habías seleccionado pasan a quedar delante!!!

PD:la regla DNS,tine que tener un destino,debe ser landdress

gerar2

bueno, la regla resulto un extito total, pero ahora tengo otro inconveniente, resulta;
que tengo 2 tipos de usuarios 1) con restricciones 2) sin restricciones, como hago para que algunos usuarios de la red, puedan ingresar al face
se que puedo hacerlo con un alias, pero nuvamente necesito una orientacion…
saludos, esta regla estara escrita en mi libro de notas..
jejej saludos