Como Bloquear https (facebook.com y otros)



  • Hola Buenas noches:

    Necesito bloquear ciertos accesos a paginas seguras (https) por ejemplo https:\facebook.com, sin llegar
    afectar la navegacion para grupos de paginas seguras como bancos y otros.
    Alguien me puede ayudar; no he econtrado una respuesta clara si esto se puede hacer; esto son los paquetes y
    versiones que tengo: PFSense 2.0.2

    squid Network 2.7.9 pkg v.4.3.3
    squidGuard Network Management
    Update Available!
    Current: 1.4_4 pkg v.1.9.5
    Installed: 1.4_4 pkg v.1.9.2Update this package.

    Les agradecera su ayuda



  • amigo solo bloquearas facebook https teniendo tu proxy en modo no transparente  yo mori intentandolo y no pude en transparente

    saludos



  • Saludos mi estimado darome_nic al parecer tienes las herramientas para hacerlo, solo falta comprobar cual es tu diagrama de red para poderte ayudar. Ya que este tipo de web no son sencillas de bloquear simplemente. Te invito a publicar como tienes establecida la red para los servicios de tu lan



  • Yo lo que hicé fue bloquear el facebook por medio de las Rules…



  • Saludos.
    Lo mejor que puedes hacer es Bloquearlas por medio de las Rules del Firewall solo tienes que buescar las IP de facebook, están por todas partes en Internet. Yo lo tengo de esa forma.



  • crea una regla y bloquea solo el facebook si se puede en cualquier modo



  • Bloquea por medio de regla, en un alias mete los siguientes segmentos que son de facebook.

    103.4.96.0/22 173.252.64.0/19 173.252.96.0/19 204.15.20.0/22 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.96.0/19 66.220.144.0/21 66.220.152.0/21 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.255.0/24 69.63.176.0/21 69.63.184.0/21 74.119.76.0/22

    Tambien te dejo los de Twitter.

    199.96.63.0/24 199.16.156.0/22 199.59.148.0/22 199.96.57.0/24

    El youtube lo puedes bloquear por capa 7.

    Yo lo llevo asi y va de maravilla.

    Saludos.



  • A título de recordatorio…

    ¿Cómo saber el rango de IPs de una gran compañía?
    https://forum.pfsense.org/index.php/topic,36344

    Nótese que algunos de los rangos obtenidos incluyen otros.

    31.13.64.0/19 incluye 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24

    De hecho, la máscara 19 implica de 31.13.64.0 a 31.13.95.255 (http://www.subnet-calculator.com/cidr.php)

    Funcionará igual, desde luego, aunque cargará algo más el cortafuegos.

    ![Captura de 2014-02-01 23:07:30.png](/public/imported_attachments/1/Captura de 2014-02-01 23:07:30.png)
    ![Captura de 2014-02-01 23:07:30.png_thumb](/public/imported_attachments/1/Captura de 2014-02-01 23:07:30.png_thumb)



  • Puede hacerse también  de manera no muy elegante con un simple DNS override en el mismo pfs.

    Esto obliga a usar el pfs de servidor de DNS.
    Saludos.



  • Camaradas bloquie el facebook en las reglas del cortafuego a como mensiono el amigo gus1185 mis preguntas son:
    ¿es posible que se cuelen los usuarios al facebook de alguna manera?
    ¿que tan fiable es esta reglas?

    Saludos y espero comentarios de experiencia! ;D



  • No sé si debería escribir esto…

    Bueno, el método de evasión más curioso (tengo que postearlo en el foro en inglés) es traerse el portátil en marcha desde casa con la conexión a Facebook abierta.

    Como que por norma una TCP se mantiene 24 horas, resulta que el cortafuegos admite la conexión...

    Curioso, pero cierto.

    Sleeping Facebook home connections brake corporative pfSense?
    https://forum.pfsense.org/index.php?topic=73673.0

    La lista de IPs te impide la realización de NUEVAS conexiones pero lo más efectivo que he encontrado es denegar el método CONNECT en squid (no transparente) para .facebook.com .twitter.com .youtube.com y filtrado de URLs con squidGuard.

    acl stop_https_sites dstdomain .facebook.com .twitter.com .youtube.com
    http_access deny CONNECT stop_https_sites
    

    Estoy experimentando con squid3-devel para hacer SSL Bump (squid en modo transparente, que desencripta las conexiones https para ver las URLs de acceso y poder actuar en consecuencia). Eso sería lo ideal, pero hay que tener en cuenta que si los usuarios NO conocen las condiciones de conexión puede ser ilegal.

    http://wiki.squid-cache.org/Features/SslBump

    Paquete pfSense 2.1 squid3-devel, https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

    En resumen, con la lista de IPs solucionas bastante el problema, pero no del todo.



  • interesante sr. bellera imaginase llevarse la computadora de trabajo a casa xD pero en general como dice usted  con la lista de IPs soluciono bastante el problema ya que por ejemplo cuando trataba de poner un AP era un problema ya que los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet y me hechaban la culpa xD de k le hacia brujeria pero en fin kreo k este es un gran paso para mis necesidad de bloquear el facebook muchas gracias !



  • @mellomx:

    los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet

    Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.



  • he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(



  • Veo muchos casos donde desean atacar el problema de como controlar, FB, YouT, Tw, etc.

    La manera mas sencilla es squid, Modo Transparente, no Transparente.

    En mi poca experiencia, la diferencia del modo transparente es la facilidad de no tener que hacer nada y que el fw intercepte toda la comunicacion 80/443 y filtrarla sobre squid.

    Lo que hace el modo no transparente es que no tiene esa automatizacion, uno lo hace con simples reglas en el fw y al final es lo que hace el modo Transparente, el sistema lo hace por nosotros, es toda la diferencia.

    Tiempo atras asi se hacia en las versiones 2.0 y anteriores.

    Ahora, una vez hecho esto, necesitamos que el usuario no se de cuenta de esto, es la diferencia del mono transparente, pero del otro lado esta wpad, se ha hablado mucho de el aqui, hay post por todos lados.

    con Firefox, Iexplore, Safari, Chrome, excepto opera me ha funcionado, la doc en ingles no es nada compleja, con solo ver las imagenes se entiende.

    Un tip que les recomiendo es, antes de probar, correr ccleaner y borrar todo los temporales de sus navegadores, ya que ellos tambien manejan cosas temporales.

    Y claro al final, yo he tomando el control de mi red y bloqueado fb,yt sin problemas.

    Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

    Mis 2 centavos, saludos.



  • como dices

    Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

    tienes razon la tecnologia movil nos alcanzo totalmente y pus como dijo para ser gratis no hay k pedirle tanto a la vida!

    y como tu por fin tome el control de mi red pronto hare unas redacciones de mi experiencia para que le sirvan a usuarios :) Saludos a todos.



  • Amigo gus1185 como bloqueaste el youtube en capa 7 me podrias explicar porfavor

    saludos



  • Si van por https tampoco podrás bloquear por capa 7, pues el patrón no es visible, al estar el tráfico encriptado.

    Tienes que usar una solución man-in-the-middle para filtrar contenidos https. O bloquearlos por tipo de tráfico (https) y/o IP de destino.

    Te sugiero squid3-devel para todo esto, https://forum.pfsense.org/index.php?topic=73689.0

    Te estoy escribiendo en modo https pasando por squid3-devel de pfSense…



  • Saludos mis estimados, coincido con el amigo periko la mejor manera de trabajar bloqueos necesarios en una red de servicios es usar squid este te dara las herramientas para hacer bloqueos como desees sabiendo crear las acls necesarias. Bloqueo por palabras, url, horarios, usuarios, etc . Estamos a la orden



  • Chicos, he leido todos los post del foro, acerca de bloqueos.

    Llevo mas de una semana haciendo todo lo que he leido y no logro bloquear facebook.
    Tengo reglas, alias. blacklist, y nada de nada.

    Alguien podria ayudarme por favor?

    Saludos desde Chile



  • puedes bloquear facebook con dns resolver o dns forwared.. ->domain overrides colocas el dominio (Facebook) y en  la ip pones una ip falsa..



  • @bellera:

    @mellomx:

    los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet

    Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.

    Esto si funciona, yo lo tengo funcionando en la empresa hace como 2 años, lo configure po DCP y DNS ya que algunos sistemas toman por dhcp y otros por dns.. hay que destacar que los dns son internos. la verdad me quite ese dolor de cabeza de facebook y youtube



  • @mellomx:

    he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

    Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona



  • he seguido este tutorial (http://www.eduardojonck.com/index.php?action=artikel&cat=6&id=30&artlang=pt-br), que parece muy completo y justo para mi versión de PFSense, pero le da igual, se lo salta.
    Ya no sé lo que hacer, he probado desde varios PC's y nada, tengo puesto en la blacklist a youtube y facebook, por ejemplo, y ni puto caso.
    Lo que no puedo permitirme es poner el servidor proxy en cada PC cliente, lo debe detectar automáticamente , ya no sé que hacer, ni sé las horas que le he echado a esto y sigue sin funcionar…
    Decir que quiero bloqeuar a los PC's conectados por OpenVPN.

    @periko:

    Veo muchos casos donde desean atacar el problema de como controlar, FB, YouT, Tw, etc.

    La manera mas sencilla es squid, Modo Transparente, no Transparente.

    En mi poca experiencia, la diferencia del modo transparente es la facilidad de no tener que hacer nada y que el fw intercepte toda la comunicacion 80/443 y filtrarla sobre squid.

    Lo que hace el modo no transparente es que no tiene esa automatizacion, uno lo hace con simples reglas en el fw y al final es lo que hace el modo Transparente, el sistema lo hace por nosotros, es toda la diferencia.

    Tiempo atras asi se hacia en las versiones 2.0 y anteriores.

    Ahora, una vez hecho esto, necesitamos que el usuario no se de cuenta de esto, es la diferencia del mono transparente, pero del otro lado esta wpad, se ha hablado mucho de el aqui, hay post por todos lados.

    con Firefox, Iexplore, Safari, Chrome, excepto opera me ha funcionado, la doc en ingles no es nada compleja, con solo ver las imagenes se entiende.

    Un tip que les recomiendo es, antes de probar, correr ccleaner y borrar todo los temporales de sus navegadores, ya que ellos tambien manejan cosas temporales.

    Y claro al final, yo he tomando el control de mi red y bloqueado fb,yt sin problemas.

    Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

    Mis 2 centavos, saludos.

    @juancho:

    @mellomx:

    he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

    Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona



  • Asi configuré  WPAD hace dos años aproximadamente.

    1. Cree los archivos wpad, wpad.dat, wpad.da, proxy.pac ya que son los tipos de archivos que usan los diferentes navegadores ( segun lo investigado en su momento). El archivo contiene esto
     function FindProxyForURL(url, host) {
       if shExpMatch(host, ".xxxx.xxxx.xxx"))
        return "DIRECT";
     ##########################################BANCOS########################
     if (dnsDomainIs(host, "*.banvenez.com"))
        return "DIRECT";
    if (dnsDomainIs(host, "e-bdvcpx.banvenez.com"))
        return "DIRECT";
    if (dnsDomainIs(host, "e-bdv.banvenez.com"))
        return "DIRECT";
    
    ##########################################REDES #####################
      if (shExpMatch(url, "*127.0.0*") || shExpMatch(host, "*localhost*"))
        return "DIRECT";
      if (shExpMatch(url, "http://172.31.100*")|| shExpMatch(url, "https://172.31.100.*"))
        return "DIRECT";
      if (shExpMatch(url, "http://172.31.104*")|| shExpMatch(url, "https://172.31.104.*"))
        return "DIRECT";
      if (shExpMatch(url, "http://172.31.108*")|| shExpMatch(url, "https://172.31.108.*"))
        return "DIRECT";
      if (shExpMatch(url, "http://172.31.112*")|| shExpMatch(url, "https://172.31.112.*"))
        return "DIRECT";
      if (shExpMatch(url, "http://172.31.116*")|| shExpMatch(url, "https://172.31.116.*"))
        return "DIRECT";
      if (shExpMatch(url, "http://172.31.88*")|| shExpMatch(url, "https://172.31.88.*"))
        return "DIRECT";
     if(isInNet(host, "172.31.88.0", "255.255.252.0"))
        return "DIRECT";
      else
    ##################################### Redireccion al Proxy############################
        return "PROXY 192.168.2.2:3128";
    }
    
    

    Basicamente los 3 archivos contienen lo mismo, hace mucho que no toco estos archivos, se que se pueden personalizar mucho y es aqui donde se crean las politicas…return "DIRECT";  indica que no sea cacheado lo que aparece dentro de los condicionales. Estos archivos los coloqué en un servidor web dentro de la red, que mas adelante usaremos .

    Nota: Utilizar permiso 777 es de mucho riesgo,  aca lo hice por pruebas y nunca lo cambié. No es la mejor practica.

    1. Resulta que se puede usar WPAD de dos formas por DHCP y por DNS…

    2.1) por DHCP quedaria como en la imagen
    http://postimg.org/image/nyqrp619f/]![]([img=http://s28.postimg.org/wkg7t6fpl/Captura_de_pantalla_2016_04_11_20_06_24_2.jpg<br />Para esta forma hay que tener un dns configurado y trabajando bien..con las zonas y todo.<br /> <br />Hice muchas pruebas en su momento y al final terminé dejando las dos formas, que hasta ahora funciona.<br /><br /><br />Luego es configurar la opción de detección automática en cada navegador.)



  • Alguna manera de limitar facebook en un horario determinado. Por ejemplo, quiero que este bloqueado desde 8am a 8pm.

    Otra opcion es que el facebook se conecte a baja velocidad…

    En espera - Gracias



  • Hola. Con respecto a las técnicas de bloqueo de las redes sociales te dejo un link interesante publicado oficialmente por Netgate.
    https://www.netgate.com/blog/application-detection-on-pfsense-software.html

    Para el tema de los "horarios" podrias utilizar reglas de "pass" / "block" asociadas a los "schedules". Tengo implementado un esquema de horarios con diferente perfiles de "limiteres" y funcionan correctamente.

    Saludos