Bloccare Facebook con pfSense



  • Ciao a tutti,
    dopo più di un mese di assenza, oggi, sono riuscito a scrivere un nuovo articolo.

    http://www.pfsenseitaly.com/2013/04/bloccare-facebook-con-pfsense.html

    Ciao Fabio



  • Io userei o un proxy o metterei direttamente FQDN di facebook in un alias di tipo HOST(S). Poi è il risultato che conta



  • ciao, l'articolo infatti riporta che i metodi x il blocco sono diversi.
    facebook e pubblicato in https e quindi bloccarlo con squid + squidguard e' una bella impresa.
    ciao



  • non concordo sul fatto dell'impresa….ma questi sono solo punti di vista.
    Dove lavoro ho fatto il revamp di tutto l'impianto firewall e telefonia ed ho implementato pure squid3+squidguard+havp proxy e facebook lo ho limitato senza nessun tipo di problema.



  • @mangano:

    non concordo sul fatto dell'impresa….ma questi sono solo punti di vista.
    Dove lavoro ho fatto il revamp di tutto l'impianto firewall e telefonia ed ho implementato pure squid3+squidguard+havp proxy e facebook lo ho limitato senza nessun tipo di problema.

    sì è un po' macchinoso ma blocca facebook (in https).



  • @mangano:

    Io userei o un proxy o metterei direttamente FQDN di facebook in un alias di tipo HOST(S). Poi è il risultato che conta

    Io avevo fatto così fin dalla 1.2.3, e da considerare che l'uso di proxy potrebbe essere problematico per quegli utenti smaliziati che si configurano la chat di Facebook con un client non web, e quindi io ho sempre preferito un blocco diretto di facebook.com senza intervenire sul proxy in toto.



  • che se volessimo dirla tutta a mio avviso il proxy oggi non serve a molto. Con un google translate o il client tor bypassi il proxy interno.



  • ciao ragazzi ho letto un po' in giro , ma facebook in https non lo riesco a bloccare
    ho messo squid + squidguard , poi ho seguito il posto di Fabio Vigano' con il blocco di tutti gli ip di facebook ma in https me lo apre lo stesso.

    consigli?

    grazie



  • Se metti tutti i domini di facebook in un alias e metti il suddetto alias in una regola blocca tutto funziona.
    Io faccio così e funziona.



  • cioe' se metto facebook.com un una taget categorie e poi la nego nei filtri va? peerche ' se cosi' fosse allora sbaglio perche' l'ho fatto



  • si blocca, funziona!
    Il tuo errore sta nel fatto che credi che facebook.com sia il dominio primario…..prova a fare un nslookup e vedrai che trovi una serie di CNAME....nell'alias metti tutti i CNAME e i record A e non dimenticare i server dns di facebook
    b.ns.facebook.com
    a.ns.facebook.com

    applica resetta gli state e prova



  • Precisazione devi fare un alias e mettere l'alias nella regoa di blocco



  • ciao, no no certo so benissimo che facebook ha molti domini, ora ne ho inseriti una seria nel alias, compreso i dns e pare che venga bloccato.
    una precisaione come faccio un nslookup? se lo faccio sul singolo dominio ovviamente mi restituisce l'ip e info di quel preciso dominio, forse non sono ferrato io :)



  • ciao a tutti
    seguendo un video in spagnolo ho bloccato facebook.
    il problema è che è bloccato per tutti, gli ip in SERVICE-PROXY FILTER-GROUP ACL - AUTHORIZED vengono anche loro bloccati.
    C'è un modo per farsi che questi utenti possano accedere?
    grazie



  • Ciao a tutti, ho provato a fare un alias tramite nslookup in pfsense.
    creato l'alias, ho aggiunto questa regola bloccandola nella lan interna.
    Dalla lan non viene eseguita e quindi si naviga su facebook sensa problemi…

    Avete consigli in merito?



  • Ciao scusate, ma io ho fatto un PfSense

    Squid3 + SquidGuard in trasparent mode con certificato.

    Con una policy di active directory ho pubblicato il certificato su tutti i client per quanto riguarda google chrome ed internet explorer.

    Purtroppo ho testato una admx per Firefox e Thunderbird che avrebbero dovuto consentirmi di pubblicare il certificato ma non funziona a dovere quindi momentaneamente ho dovuto installarlo a mano.

    Pero inserendo in SquidGuard il blocco social_network Facebook viene correttamente bloccato



  • dato che ormai tutti i siti lavorano in HTTPS, è possibile bloccare tipo facebook da squidguard oppure devo continuare a bloccarlo da ip?



  • @tigro11:

    dato che ormai tutti i siti lavorano in HTTPS, è possibile bloccare tipo facebook da squidguard oppure devo continuare a bloccarlo da ip?

    hai diverse possibilità:

    • squid + squidguard senza MITM blocchi tutti i siti riconosciuti da squidguard+liste ma non controlli la pagina di errore (si visualizza un generico errore del browser) con la possibilità di profilare (quindi decidere in base alla tipologia di utenza)
    • squid + squidguard e installazione dei certificati sui client, blocchi i siti riconosciuti da squidguard+liste e controlli la pagina di errore con la possibilità di profilare (quindi decidere in base alla tipologia di utenza)
    • dns: ma devi fare un bel lavoro custom (le reti facebook: whois -h whois.radb.net – '-i origin AS32934' | grep ^route)

    usi un qualche motore esterno (dns che costa anche poco, 1€/utenza/anno, nxfilter per esempio)



  • io uso squid in trasparent mode, voi cosa consigliate come male minore