Como Bloquear https (facebook.com y otros)
-
Si van por https tampoco podrás bloquear por capa 7, pues el patrón no es visible, al estar el tráfico encriptado.
Tienes que usar una solución man-in-the-middle para filtrar contenidos https. O bloquearlos por tipo de tráfico (https) y/o IP de destino.
Te sugiero squid3-devel para todo esto, https://forum.pfsense.org/index.php?topic=73689.0
Te estoy escribiendo en modo https pasando por squid3-devel de pfSense…
-
Saludos mis estimados, coincido con el amigo periko la mejor manera de trabajar bloqueos necesarios en una red de servicios es usar squid este te dara las herramientas para hacer bloqueos como desees sabiendo crear las acls necesarias. Bloqueo por palabras, url, horarios, usuarios, etc . Estamos a la orden
-
Chicos, he leido todos los post del foro, acerca de bloqueos.
Llevo mas de una semana haciendo todo lo que he leido y no logro bloquear facebook.
Tengo reglas, alias. blacklist, y nada de nada.Alguien podria ayudarme por favor?
Saludos desde Chile
-
puedes bloquear facebook con dns resolver o dns forwared.. ->domain overrides colocas el dominio (Facebook) y en la ip pones una ip falsa..
-
los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet
Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.
Esto si funciona, yo lo tengo funcionando en la empresa hace como 2 años, lo configure po DCP y DNS ya que algunos sistemas toman por dhcp y otros por dns.. hay que destacar que los dns son internos. la verdad me quite ese dolor de cabeza de facebook y youtube
-
he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(
Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona
-
he seguido este tutorial (http://www.eduardojonck.com/index.php?action=artikel&cat=6&id=30&artlang=pt-br), que parece muy completo y justo para mi versión de PFSense, pero le da igual, se lo salta.
Ya no sé lo que hacer, he probado desde varios PC's y nada, tengo puesto en la blacklist a youtube y facebook, por ejemplo, y ni puto caso.
Lo que no puedo permitirme es poner el servidor proxy en cada PC cliente, lo debe detectar automáticamente , ya no sé que hacer, ni sé las horas que le he echado a esto y sigue sin funcionar…
Decir que quiero bloqeuar a los PC's conectados por OpenVPN.Veo muchos casos donde desean atacar el problema de como controlar, FB, YouT, Tw, etc.
La manera mas sencilla es squid, Modo Transparente, no Transparente.
En mi poca experiencia, la diferencia del modo transparente es la facilidad de no tener que hacer nada y que el fw intercepte toda la comunicacion 80/443 y filtrarla sobre squid.
Lo que hace el modo no transparente es que no tiene esa automatizacion, uno lo hace con simples reglas en el fw y al final es lo que hace el modo Transparente, el sistema lo hace por nosotros, es toda la diferencia.
Tiempo atras asi se hacia en las versiones 2.0 y anteriores.
Ahora, una vez hecho esto, necesitamos que el usuario no se de cuenta de esto, es la diferencia del mono transparente, pero del otro lado esta wpad, se ha hablado mucho de el aqui, hay post por todos lados.
con Firefox, Iexplore, Safari, Chrome, excepto opera me ha funcionado, la doc en ingles no es nada compleja, con solo ver las imagenes se entiende.
Un tip que les recomiendo es, antes de probar, correr ccleaner y borrar todo los temporales de sus navegadores, ya que ellos tambien manejan cosas temporales.
Y claro al final, yo he tomando el control de mi red y bloqueado fb,yt sin problemas.
Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.
Mis 2 centavos, saludos.
he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(
Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona
-
Asi configuré WPAD hace dos años aproximadamente.
- Cree los archivos wpad, wpad.dat, wpad.da, proxy.pac ya que son los tipos de archivos que usan los diferentes navegadores ( segun lo investigado en su momento). El archivo contiene esto
function FindProxyForURL(url, host) { if shExpMatch(host, ".xxxx.xxxx.xxx")) return "DIRECT"; ##########################################BANCOS######################## if (dnsDomainIs(host, "*.banvenez.com")) return "DIRECT"; if (dnsDomainIs(host, "e-bdvcpx.banvenez.com")) return "DIRECT"; if (dnsDomainIs(host, "e-bdv.banvenez.com")) return "DIRECT"; ##########################################REDES ##################### if (shExpMatch(url, "*127.0.0*") || shExpMatch(host, "*localhost*")) return "DIRECT"; if (shExpMatch(url, "http://172.31.100*")|| shExpMatch(url, "https://172.31.100.*")) return "DIRECT"; if (shExpMatch(url, "http://172.31.104*")|| shExpMatch(url, "https://172.31.104.*")) return "DIRECT"; if (shExpMatch(url, "http://172.31.108*")|| shExpMatch(url, "https://172.31.108.*")) return "DIRECT"; if (shExpMatch(url, "http://172.31.112*")|| shExpMatch(url, "https://172.31.112.*")) return "DIRECT"; if (shExpMatch(url, "http://172.31.116*")|| shExpMatch(url, "https://172.31.116.*")) return "DIRECT"; if (shExpMatch(url, "http://172.31.88*")|| shExpMatch(url, "https://172.31.88.*")) return "DIRECT"; if(isInNet(host, "172.31.88.0", "255.255.252.0")) return "DIRECT"; else ##################################### Redireccion al Proxy############################ return "PROXY 192.168.2.2:3128"; }
Basicamente los 3 archivos contienen lo mismo, hace mucho que no toco estos archivos, se que se pueden personalizar mucho y es aqui donde se crean las politicas…return "DIRECT"; indica que no sea cacheado lo que aparece dentro de los condicionales. Estos archivos los coloqué en un servidor web dentro de la red, que mas adelante usaremos .
Nota: Utilizar permiso 777 es de mucho riesgo, aca lo hice por pruebas y nunca lo cambié. No es la mejor practica.
- Resulta que se puede usar WPAD de dos formas por DHCP y por DNS…
2.1) por DHCP quedaria como en la imagen
http://postimg.org/image/nyqrp619f/]![]([img=http://s28.postimg.org/wkg7t6fpl/Captura_de_pantalla_2016_04_11_20_06_24_2.jpg<br />Para esta forma hay que tener un dns configurado y trabajando bien..con las zonas y todo.<br /> <br />Hice muchas pruebas en su momento y al final terminé dejando las dos formas, que hasta ahora funciona.<br /><br /><br />Luego es configurar la opción de detección automática en cada navegador.) -
Alguna manera de limitar facebook en un horario determinado. Por ejemplo, quiero que este bloqueado desde 8am a 8pm.
Otra opcion es que el facebook se conecte a baja velocidad…
En espera - Gracias
-
Hola. Con respecto a las técnicas de bloqueo de las redes sociales te dejo un link interesante publicado oficialmente por Netgate.
https://www.netgate.com/blog/application-detection-on-pfsense-software.htmlPara el tema de los "horarios" podrias utilizar reglas de "pass" / "block" asociadas a los "schedules". Tengo implementado un esquema de horarios con diferente perfiles de "limiteres" y funcionan correctamente.
Saludos