[Resolvido] facebook https



  • Antes de qualquer coisa queria agradecer pelo forum e pelo pfsense e uma ferramenta magnifica. tenho pfsense 2.0.1 instalado, tambem tenho instalado squid e squidguard para bloquear sites, mas o problema e o seguinte bloquei o facebook.com mas funciona atraves do https, entao fiz uma regra para bloquear o facebook, da seguinte forma, fiz um aliases com os enderecos de facebook, crie uma regra para rejeitar estes enderecos.mas o que aconteca bloquei o facebook durante alguns minutos depois permite a entrada de facebook, mas nao tenho configurado o tempo. por favor me ajude nao sei o que esta a acontecer antes esta regra funcionava correctamente, mas agora nao esta a funcionar.
    ![Alias facebook.png](/public/imported_attachments/1/Alias facebook.png)
    ![Alias facebook.png_thumb](/public/imported_attachments/1/Alias facebook.png_thumb)
    ![firewall rules.png](/public/imported_attachments/1/firewall rules.png)
    ![firewall rules.png_thumb](/public/imported_attachments/1/firewall rules.png_thumb)



  • A source deve ser Lan net, a source port deve ser * = any. O gateway também.



  • tambem testei desta forma com source lan subnet a source port coloquei any o gateway tambem mas continua a nao funcionar correctamente. mas continua a nao permitir durante alguns minutos depois volta a liberar.



  • Se voce quiser bloquear em determinados horarios o facebook.
    Primeiro definas os horários  em  -> Firewall: Schedules

    Crie as regras de bloqueios do facebook, e  depois vincule ao schedule que voce criou.

    Em Rules -> LAN
    Advanced features -> Schedule -> Advanced



  • @avarela:

    ..mas o problema e o seguinte bloquei o facebook.com

    O https está passando provavelmente porque você esta usando proxy transparente.

    para melhorar seu alias do facebook, coloque os hosts que você sabe que ele usa, por exemplo:

    login.facebook.com
    www.facebook.com
    star.facebook.com
    .
    .
    .

    att,
    Marcello Coutinho



  • Além da sugestão do Marcelloc, veja o link abaixo. Há relatos, de acordo com os comentários no blog, que a configuração funciona conforme eu sugeri antes. No tutorial não foi especificado que o proxy estava em modo transparente mas afirmo para você que estava. Fui eu que fiz e publiquei o tutorial, após vários testes e com o Squid transparente. Além de tudo, você adicionou networks do facebook atualizadas que, na época do tutorial, não existiam.
    http://nextsense.com.br/blog/archives/402

    Que tal você refazer a regra?  :)



  • boa tarde,

    obrigado pessoal pela dica e pelo apoio no que diz respeito a pfsense, funcionou pelo visto era o network de facebook que precisava actualizar … obrigado compaheiros ... muito obrigado mesmo pelo apoio ... valeu



  • @avarela:

    boa tarde,

    obrigado pessoal pela dica e pelo apoio no que diz respeito a pfsense, funcionou pelo visto era o network de facebook que precisava actualizar … obrigado compaheiros ... muito obrigado mesmo pelo apoio ... valeu

    Muito bom!

    Por favor, avarela…
    Ajude a todos colocando as networks atualizadas do facebook aqui, mesmo que seja em formato texto.



  • @johnnybe:

    Ajude a todos colocando as networks atualizadas do facebook aqui, mesmo que seja em formato texto.

    cri… cri... cri...

    Algumas coisas não mudam... :D



  • @marcelloc:

    @johnnybe:

    Ajude a todos colocando as networks atualizadas do facebook aqui, mesmo que seja em formato texto.

    cri… cri... cri...

    Algumas coisas não mudam... :D

    Hehehe… é... continuo sendo cricri.  ;D



  • @johnnybe:

    Hehehe… é... continuo sendo cricri.  ;D

    Longe disso johnnybe , coloquei o som de grilo para descrever que ficamos sem a resposta…

    Você pediu uma informação e a úncia coisa que escutamos de volta foi... "nada"  :)



  • @marcelloc:

    @johnnybe:

    Hehehe… é... continuo sendo cricri.  ;D

    Longe disso johnnybe , coloquei o som de grilo para descrever que ficamos sem a resposta…

    Você pediu uma informação e a úncia coisa que escutamos de volta foi... "nada"  :)

    Eu percebi, Marcello. Por que você acha que coloquei aquela risada  ;D ? Só foi para aproveitar o "mote" e fazer uma brincadeira com o cri cri.
    De certa forma, foi também para chamar a atenção sobre o fato da falta feedback, conforme você, eu e o JackL sempre pedimos.

    Mas eu não me importo de ser "esse chato", forma pela qual muitos aqui me consideram, sei muito bem disso e porque: por pedir maiores informações quando não foram disponibilizadas, por pedir pré-pesquisa, por apontar as Regras do Fórum quando isso ocorre, por não terem lido/compreendido o que eu coloquei em resposta etc etc etc e tal. Certa vez recebi uma PV com o seguinte teor: "você é moderador?… se não é não se meta onde não é chamado."  ::)
    Minha consciência está tranquila.  :)



  • Srs. Estou testando diversos firewalls para escolher um fácil para instalar em escolas e acabei esbarrando em seu tópico.
    Um dos pontos que estou levando em conta é possibilidade de bloquear facilmente as redes sociais e instant messengers.
    Consegui compilar uma lista de IPs do Facebook que acabaram funcionando muito bem:
    31.13.24.0/21
    31.13.64.0/19
    31.13.64.0/24
    31.13.69.0/24
    31.13.70.0/24
    31.13.71.0/24
    31.13.72.0/24
    31.13.73.0/24
    31.13.75.0/24
    31.13.76.0/24
    31.13.77.0/24
    31.13.78.0/24
    31.13.79.0/24
    31.13.80.0/24
    66.220.144.0/20
    66.220.144.0/21
    66.220.149.11/16
    66.220.152.0/21
    66.220.158.11/16
    66.220.159.0/24
    69.63.176.0/21
    69.63.176.0/24
    69.63.184.0/21
    69.171.224.0/19
    69.171.224.0/20
    69.171.224.37/16
    69.171.229.11/16
    69.171.239.0/24
    69.171.240.0/20
    69.171.242.11/16
    69.171.255.0/24
    74.119.76.0/22
    173.252.64.0/19
    173.252.70.0/24
    173.252.96.0/19
    204.15.20.0/22

    Fiz a regra de bloqueio de acordo com o que encontrei em outro site: http://nextsense.com.br/blog/archives/402
    Meu único porém para o PfSense foi que não encontrei um arquivo separado para adicionar todos os IPs de uma só vez, teria que cadastrar tudo pela GUI, coisa maçante de fazer, ou usar o viconfig, nada intuitivo e bastante arriscado. Caso haja outra forma que os colegas saibam eu agradeceria a informação.



  • meiolouco,

    Em nome de todos participantes do fórum, se me permitem, muito obrigado pelas redes atuais do Facebook!  8)



  • @johnnybe:

    Em nome de todos participantes do fórum, se me permitem, muito obrigado pelas redes atuais do Facebook!  8)

    E seja bem vindo também!  ;)



  • @marcelloc:

    E seja bem vindo também!  ;)

    Com certeza!  :)



  • meiolouco,

    Disponibilizei as redes atualizadas do facebook em formato .txt no blog da Nextsense com agradecimentos a sua pessoa. Mais uma vez, obrigado.



  • @johnnybe:

    Disponibilizei as redes atualizadas do facebook em formato .txt no blog da Nextsense com agradecimentos a sua pessoa.

    Põe o link também, facilita a busca.  :)



  • @marcelloc:

    @johnnybe:

    Disponibilizei as redes atualizadas do facebook em formato .txt no blog da Nextsense com agradecimentos a sua pessoa.

    Põe o link também, facilita a busca.  :)

    Ôpa! http://nextsense.com.br/blog/archives/402



  • Oi pessoal, tudo bem com vocês?

    Consegui utilizar o tutorial de vocês, ótimo!
    Porém eu gostaria apenas de bloquear o Facebook Messenger. Será que alguém sabe informar quais os endereços usados pelo mesmo?
    Obrigado, um abraço!



  • Olá, sobre o range de IPs do Facebook (e de outros serviços/empresas) existe o site http://bgp.he.net/search?search[search]=facebook&commit=Search

    Muito útil.

    Hoje mesmo precisei implementar esta regra em um cliente. Segui a ajuda aqui deste tópico e do blog Nextsente. Amanhã a empresa volta a trabalhar e vou ver se deu certo ou não.

    Abraço.



  • @epboeira:

    Segui a ajuda aqui deste tópico e do blog Nextsente. Amanhã a empresa volta a trabalhar e vou ver se deu certo ou não.

    Nextsente? Deve ser nextsense, né?  :)



  • @johnnybe:

    @epboeira:

    Segui a ajuda aqui deste tópico e do blog Nextsente. Amanhã a empresa volta a trabalhar e vou ver se deu certo ou não.

    Nextsente? Deve ser nextsense, né?  :)

    Exaaaatamente… heeheheh.
    NextsenSe!



  • @epboeira:

    @johnnybe:

    @epboeira:

    Segui a ajuda aqui deste tópico e do blog Nextsente. Amanhã a empresa volta a trabalhar e vou ver se deu certo ou não.

    Nextsente? Deve ser nextsense, né?  :)

    Exaaaatamente… heeheheh.
    NextsenSe!

    Valeu.  :)



  • Galera, segundo o feedback do meu cliente hoje, funcionou o bloqueio!
    Mas, cliente é cliente né, então ele já me pediu pra liberar algumas máquinas e também deixar liberado o acesso ao Facebook durante o horário do almoço.
    Vou colocar aqui como eu fiz, se tiver errado, por favor me ajudem:
    Criei 2 aliases de rede: 1 ips_restritos = 172.16.0.0/24, o outro ips_liberados = 172.16.0.3 172.16.0.51 …
    Criei um schedule: horario_Liberado = 11:45 - 13:15
    Nas regras, criei uma dizendo que ips_Liberados passa tudo com destino http e https
    ips_restritos passa com destino ao alias rede_facebook (1 regra) e host_facebook (outra regra) (que contém o range de ips do Face e os hosts) durante o horario_liberado
    E, por último, criei 2 regras bloqueando o rede_facebook e outra o host_facebook para toda a LAN_subnet.

    É isso mesmo ou deixei passar alguma coisa?

    Obrigado



  • Se respeitou a hierarquia das regras, acredito que está certo :)



  • @marcelloc:

    Se respeitou a hierarquia das regras, acredito que está certo :)

    Valeu, amanhã eu já descubro… hehehe.

    Fico na ânsia de saber se funcionou ou não, quando eu faço essas configurações fora do horário de trabalho. Mas por outro lado é bom, dá mais tempo de colocar todas as regras, sem pressa. E, principalmente, dá pra conferir aqui o forum com calma também.

    Valeu.



  • @marcelloc:

    Se respeitou a hierarquia das regras, acredito que está certo :)

    Ainda sobre a hierarquia:
    1 - primeiro eu liberei os ips que acessam o Facebook direto (sem restrição)
    2 - liberei o horário do meio dia para os ips restritos (toda a subnet)
    3 - bloqueio o facebook por host e por range de ips, tanto na porta 80 quanto na 433



  • @johnnybe:

    A source deve ser Lan net, a source port deve ser * = any. O gateway também.

    Bom dia Marcelo! Sou novo no forum e gostei bastante do tópico explicativo sobre o bloqueio dos facebook, excelente, mas e quanto ás outras redes sociais você(s) teria(m) alguma dica pro bloqueio?!
    Tenho um excelente dia e um forte abraço. ;D



  • @meiolouco:

    Srs. Estou testando diversos firewalls para escolher um fácil para instalar em escolas e acabei esbarrando em seu tópico.
    Um dos pontos que estou levando em conta é possibilidade de bloquear facilmente as redes sociais e instant messengers.
    Consegui compilar uma lista de IPs do Facebook que acabaram funcionando muito bem:

    Eu instalo Firewall em Escolas Públicas e sou amigo da Escola. Tenho configurações que poderão ser de grande utilidade pra voce e podemos troca umas ideias aqui no forum sobre isso e colocar mais pfSense's em Escolas e assim divulgar mais e mais essa grande ferramenta.

    @meiolouco:

    Fiz a regra de bloqueio de acordo com o que encontrei em outro site: http://nextsense.com.br/blog/archives/402
    Meu único porém para o PfSense foi que não encontrei um arquivo separado para adicionar todos os IPs de uma só vez, teria que cadastrar tudo pela GUI, coisa maçante de fazer, ou usar o viconfig, nada intuitivo e bastante arriscado. Caso haja outra forma que os colegas saibam eu agradeceria a informação.

    Eu crieu o Alias com todas as redes do Facebook. Não preciso mais fazer esse trabalho manualmente. Só subir o alias e depois configurar a Rule correspondente ao bloqueio do Facebook para HTTPS e pronto. Caso queria esse alias posso lhe mandar.

    Abraços



  • @breno.uni:

    @meiolouco:

    Fiz a regra de bloqueio de acordo com o que encontrei em outro site: http://nextsense.com.br/blog/archives/402
    Meu único porém para o PfSense foi que não encontrei um arquivo separado para adicionar todos os IPs de uma só vez, teria que cadastrar tudo pela GUI, coisa maçante de fazer, ou usar o viconfig, nada intuitivo e bastante arriscado. Caso haja outra forma que os colegas saibam eu agradeceria a informação.

    Eu crieu o Alias com todas as redes do Facebook. Não preciso mais fazer esse trabalho manualmente. Só subir o alias e depois configurar a Rule correspondente ao bloqueio do Facebook para HTTPS e pronto. Caso queria esse alias posso lhe mandar.

    breno.uni, não entendi essa sua colocação. Afinal, o que o meiolouco fez foi justamente criar o Alias e a regra correspondente, conforme o link que ele postou e que trata justamente disso: Bloquear Facebook utilizando Regras e Aliases no pfSense.

    Pelo que entendi, o que o meiolouco quis dizer é que "configurar cada network manualmente no Aliases é maçante". Realmente é.



  • @hermanleao:

    mas e quanto ás outras redes sociais você(s) teria(m) alguma dica pro bloqueio?!

    hermanleao, bem vindo ao fórum! :)

    O procedimento é basicamente o mesmo, procurar as faixas de ip/hosts do site e cadastrar em um alias antes de criar a regra.

    att,
    Marcello Coutinho



  • Amigos efetuei o bloqueio do Facebook utilizando os IPs informado no topico porem quando bloqueia não aparece a mesagem de acesso negado do squid, poderiam informar porque.



  • @vinicius:

    Amigos efetuei o bloqueio do Facebook utilizando os IPs informado no topico porem quando bloqueia não aparece a mesagem de acesso negado do squid, poderiam informar porque.

    Qual a mensagem que aparece?
    Não seria mesmo para aparecer qualquer mensagem do Squid, uma vez que o bloqueio está sendo feito pelas regras do firewall, e não pelo proxy.
    Isso se realmente você utilizou o bloqueio por Aliases/Rules.



  • @vinicius:

    poderiam informar porque.

    Se você usou regras de firewall, sugiro colocar reject no lugar de deny.

    Como o johnnybe já postou, a mensagem de erro do squid aparece somente quando ele(o squid) bloqueia o acesso.



  • @marcelloc:

    @avarela:

    ..mas o problema e o seguinte bloquei o facebook.com

    O https está passando provavelmente porque você esta usando proxy transparente.

    para melhorar seu alias do facebook, coloque os hosts que você sabe que ele usa, por exemplo:

    login.facebook.com
    www.facebook.com
    star.facebook.com

    Neste caso terei que criar outra regra igual a que já existe para setar o novo aliase? Pergunto pq existe na regra apenas um campo "Destination" e no aliase não tem como setar networks e hosts junto. Entendeu a ideia?



  • @TonyEmiliano:

    Neste caso terei que criar outra regra igual a que já existe para setar o novo aliase?

    sim.



  • kkkk fiz isso sei que não é elegante, mais eu reduzi o trabalho jogando para /16
    31.13.0.0/16, 66.220.0.0/16, 69.63.0.0/16, 69.171.0.0/16, 74.119.0.0/16, 173.252.0.0/16, 204.15.0.0/16
    já esta caindo na primeira regra, até agora sem nenhuma reclamação com outros sites.



  • o que tem errado na minha regra? ???.. ainda está passando https://

    meu proxy é transparente.



  • can any one tell me how can i find ip and cidr of https://www.facebook.com and https://vimeo.com/
    i am using windows 7 and pfsense2.0


Log in to reply