Bloquear facebook porta 443 por string
-
Pessoal, boa tarde!
Migrei a pouco tempo para o pfsense, e ainda estou me familiarizando com o sistema..
Seguinte, no Linux, utilizando o firewall Iptables, eu tenho algumas regras que bloqueiam um determinado range de IP de acessar o facebook porta 443 utilizando de string´s, como exemplo abaixo:#################
iptables -t filter -A FORWARD -p tcp –dport 443 -m iprange --src-range 192.168.1.1-192.168.1.200 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -A OUTPUT -p tcp --dport 443 -m iprange --src-range 192.168.1.1-192.168.1.200 -m string --algo bm --string "facebook.com" -j DROP
#################faço isso para não ter que bloquear a porta 443, somente o facebook que é o necessário aqui, utilizo proxy squid autenticado, preciso que essa regra funcione, para bloquear os espertinhos que tentarem tirar as configurações de proxy do navegador, forçando assim a saída do facebook por https..
Existe a possibilidade de adequar essa regra no Pfsense? Bloqueando por string? ou de outra forma?
-
Pessoal resolvi da seguinte forma..
Por este site: http://bgp.he.net/ peguei as redes do facebook, e adicionei em um alias
Firewall -> aliases -> "bulk import aliases from list"Depois em Firewall -> rules -> Lan, adicionei uma regra bloqueando tudo que tiver destino a porta 443, com destino "ALIas_criado", seja bloqueado..
Deu certo, porém não sei se é a forma correta, por que provavelmente vou ter que ficar filtrando essas redes e alimentando estes alias periodicamente, mas foi a forma que encontrei para bloquear os acessos ao facebook para usuários que por um acaso venham a tirar o proxy do navegador e tentem navegar sem restrições.. -
creio que pelo squid voce teria um melhor controle sobre esse tipo de situação..
-
Como já havia dito, tenho o squid funcionando e tenho regras de bloqueio para o facebook, de acordo com grupos etc.. só precisava bloquear o facebook CASO alguém tente acessar sem o proxy configurado no navegador, utilizo proxy autenticado e está ok!
-
@WTF_Cléio:
Como já havia dito, tenho o squid funcionando e tenho regras de bloqueio para o facebook, de acordo com grupos etc.. só precisava bloquear o facebook CASO alguém tente acessar sem o proxy configurado no navegador, utilizo proxy autenticado e está ok!
Se voce utiliza proxy autenticado e o firewall estiver configurado corretamente, quem nao estiver com proxy marcado nao deve conseguir navegar….
-
@WTF_Cléio:
Como já havia dito, tenho o squid funcionando e tenho regras de bloqueio para o facebook, de acordo com grupos etc.. só precisava bloquear o facebook CASO alguém tente acessar sem o proxy configurado no navegador, utilizo proxy autenticado e está ok!
Se voce utiliza proxy autenticado e o firewall estiver configurado corretamente, quem nao estiver com proxy marcado nao deve conseguir navegar….
Exato! se estao conseguindo navegar sem proxy, voce deve estar com a regra default do firewall ativa
-
A regra default não está ativa, porém não fiz o bloqueio da porta 443, somente da porta 80, então sem proxy se alguem tenta navegar no uol.com.br (http) é rejeitado, e no https://facebook.com passa.. Não quero bloquear a porta 443 e sim o facebook, somente..
Me corrijam se estiver errado, o que fiz foi configurar o squid como proxy autenticado, desabilitar a regra default (pass) e ir liberando somente as portas que eu desejava (https/pop/imap/smtp, squid, etc).. Por conta de um sistema que temos interno, não posso bloquear a porta 443.
-
@WTF_Cléio:
Me corrijam se estiver errado, o que fiz foi configurar o squid como proxy autenticado, desabilitar a regra default (pass) e ir liberando somente as portas que eu desejava (email pop/imap/smtp, squid, etc)..
Correto, mas deixar qualquer porta liberada para a rua já dá acesso aos espertinhos.
Você bloqueia os ips do facebook mas deixa a 443 aberta.
O espertão baixa um ultrasurf da vida e navega o que quiser passando por sua regra que libera a 443.teste o squid3-dev com filtro de ssl. Acho que vai te proteger mais.
-
Legal Marcelloc, ainda não conhecia esse squid3-dev, vou testar fim de semana..
E realmente, por mim já havia bloqueado tanto 80 (que já está) e 443, e todo mundo passaria só pelo proxy, mas por conta de um sistema interno, preciso liberar a porta 443.. e ainda assim bloquear o facebook para os "espertinhos".. Creio que inicialmente não terei problemas com ultrasurf ou algo do tipo, Obrigado pela atenção de todos!