Bloquear facebook porta 443 por string

cleio

Pessoal, boa tarde!
Migrei a pouco tempo para o pfsense, e ainda estou me familiarizando com o sistema..
Seguinte, no Linux, utilizando o firewall Iptables, eu tenho algumas regras que bloqueiam um determinado range de IP de acessar o facebook porta 443 utilizando de string´s, como exemplo abaixo:

#################
iptables -t filter -A FORWARD -p tcp –dport 443 -m iprange --src-range 192.168.1.1-192.168.1.200 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A OUTPUT  -p tcp --dport 443 -m iprange --src-range 192.168.1.1-192.168.1.200 -m string --algo bm --string "facebook.com" -j DROP
#################

faço isso para não ter que bloquear a porta 443, somente o facebook que é o necessário aqui, utilizo proxy squid autenticado, preciso que essa regra funcione, para bloquear os espertinhos que tentarem tirar as configurações de proxy do navegador, forçando assim a saída do facebook por https..

Existe a possibilidade de adequar essa regra no Pfsense? Bloqueando por string? ou de outra forma?

cleio

Pessoal resolvi da seguinte forma..

Por este site: http://bgp.he.net/ peguei as redes do facebook, e adicionei em um alias
Firewall -> aliases -> "bulk import aliases from list"

Depois em Firewall -> rules -> Lan, adicionei uma regra bloqueando tudo que tiver destino a porta 443, com destino "ALIas_criado", seja bloqueado..
Deu certo, porém não sei se é a forma correta, por que provavelmente vou ter que ficar filtrando essas redes e alimentando estes alias periodicamente, mas foi a forma que encontrei para bloquear os acessos ao facebook para usuários que por um acaso venham a tirar o proxy do navegador e tentem navegar sem restrições..

lucaspolli

creio que pelo squid voce teria um melhor controle sobre esse tipo de situação..

cleio

Como já havia dito, tenho o squid funcionando e tenho regras de bloqueio para o facebook, de acordo com grupos etc.. só precisava bloquear o facebook CASO alguém tente acessar sem o proxy configurado no navegador, utilizo proxy autenticado e está ok!

marcosjost

@WTF_Cléio:

Como já havia dito, tenho o squid funcionando e tenho regras de bloqueio para o facebook, de acordo com grupos etc.. só precisava bloquear o facebook CASO alguém tente acessar sem o proxy configurado no navegador, utilizo proxy autenticado e está ok!

Se voce utiliza proxy autenticado e o firewall estiver configurado corretamente, quem nao estiver com proxy marcado nao deve conseguir navegar….

lucaspolli

@marcosjost:

@WTF_Cléio:

Como já havia dito, tenho o squid funcionando e tenho regras de bloqueio para o facebook, de acordo com grupos etc.. só precisava bloquear o facebook CASO alguém tente acessar sem o proxy configurado no navegador, utilizo proxy autenticado e está ok!

Se voce utiliza proxy autenticado e o firewall estiver configurado corretamente, quem nao estiver com proxy marcado nao deve conseguir navegar….

Exato! se estao conseguindo navegar sem proxy, voce deve estar com a regra default do firewall ativa

cleio

A regra default não está ativa, porém não fiz o bloqueio da porta 443, somente da porta 80, então sem proxy se alguem tenta navegar no uol.com.br (http) é rejeitado, e no https://facebook.com passa.. Não quero bloquear a porta 443 e sim o facebook, somente..

Me corrijam se estiver errado, o que fiz foi configurar o squid como proxy autenticado, desabilitar a regra default (pass) e ir liberando somente as portas que eu desejava (https/pop/imap/smtp, squid, etc).. Por conta de um sistema que temos interno, não posso bloquear a porta 443.

marcelloc

@WTF_Cléio:

Me corrijam se estiver errado, o que fiz foi configurar o squid como proxy autenticado, desabilitar a regra default (pass) e ir liberando somente as portas que eu desejava (email pop/imap/smtp, squid, etc)..

Correto, mas deixar qualquer porta liberada para a rua já dá acesso aos espertinhos.

Você bloqueia os ips do facebook mas deixa a 443 aberta.
O espertão baixa um ultrasurf da vida e navega o que quiser passando por sua regra que libera a 443.

teste o squid3-dev com filtro de ssl. Acho que vai te proteger mais.

cleio

Legal Marcelloc, ainda não conhecia esse squid3-dev, vou testar fim de semana..

E realmente, por mim já havia bloqueado tanto 80 (que já está) e 443, e todo mundo passaria só pelo proxy, mas por conta de um sistema interno, preciso liberar a porta 443.. e ainda assim bloquear o facebook para os "espertinhos".. Creio que inicialmente não terei problemas com ultrasurf ou algo do tipo, Obrigado pela atenção de todos!