Bloquear Facebook con pfsense



  • hola

    hace unos dias cambie el Linksys Smart Wi-Fi Router EA6500 por un corta fuegos con pfsense . el corta fuegos hace de router. [modem -> pfsense -> red lan] funciona todo sin problemas. ahora tengo una pregunta, me gustaria configurar el corta fuegos de esta manera: a partir de las 22.00 horas, no se puedan (en concreto 2 iphones)conectar a la pagina web de fecebook. es eso posible?

    muchas gracias por la ayuda.



  • Saludos mi estimado con solo pfsense no es posible, debe adicionar el paquete squid y configurar de manera manual acls combinadas en el o adicionar squid+squidguard y en este ultimo puede establecer acls de horarios para los equipos nombrados anteriormente.

    Siempre se ha recomendado sobre todo para hacer cache usar squid fuera de pfsense para mayor rendimiento en su caso podria ir bien sobre pfsense ya que solo serian bloqueos o redirecciones.

    Estamos a su orden


  • Rebel Alliance

    @ amnarl

    Sí se puede, sólo que es mas complicado/tedioso que con squid, ya que hay que buscar y mantener todas las IP's que utiliza Facebook.

    @  Misaal

    Utiliza el "Buscador" que si no me falla la memoria se ha tocado el tema con anterioridad…

    En el "Sticky: Documentación" tienes, bajo la referencia "Filtrar por IPs de destino" (Rangos de IPs por compañía)

    Luego debes Leer/Buscar acerca de "Schedules" para ver cómo "programar" las Reglas de FW

    A medida que vayas avanzando, puedes postear aquí tus dudas, y los compañeros te van a orientar/ayudar

    Edit:
            aquí un hilo que habla del tema "Bloquear FB por IP"  https://forum.pfsense.org/index.php?topic=79171



  • Lo que te indica ptt es correcto, puedes crear un aliases con todas las subredes de facebook. puedes usar myip.ms para saber sus segmentos.

    Deberás crear reglas drop al principio de las reglas del fw en caso de que tengas reglas generales de navegación, de esta manera cualquier consulta que tengan como destino facebook las bloqueará, independientemente del protocolo, y puerto.

    Te dejo el link de ejemplo, allí verás todos los segmentos posibles que podría usar Facebook

    Saludos

    PD. No lo veo tedioso ni difícil :D



  • Correcto compañero PTT es posible con aliasses de esas ips ya se habia mencionado anteriormente solo que algunos no le gusta esa forma y por lo tedioso lo ven muy complicado….

    Gracias por la aclaratoria



  • pues muchas gracias. lo mirare aver como funciona. ya ire comentando. pero de momento, me pongo a buscar. gracias!



  • buenos dias señores

    muchas gracias por la ayuda y enseñarme la direccion adecuada.
    encontre un tutorial muy bueno por la red. lo pongo por si sirve de ayuda a cualquier principiante

    http://de.scribd.com/doc/67645487/TALLER-PROXY-configurando-Proxy-en-Pfsense

    saludos



  • buenas tardes, tengo una duda, realize el bloqueo del facebook por medio de aliases seguido con la respectiva configuracion en rules logrando un excelente bloqueo de facebook, el inconveniente que tengo es que no he podido crear un tipo de bloqueo selectivo ya que algunos de los usuarios si necesitan tener acceso a esta pagina, le agradeceria de antemano a la persona que me pudiera colaborar con este pequeño obstaculo.



  • Haz lo mismo, creas un aliases con las IP (porque son reglas de FW) de los usuarios que quieras permitirles la salida, y lo colocas en una regla previa al bloqueo..  tipo:

    Protocol: TCP
    Source: Aliases_FacebookSi
    Destination: Aliases_Facebook_Red
    Port:  Aliases_Web

    Donde Aliases_FacebookSi  es una lista de IPs de los Privilegiados (Podrias llamarlos Aliases_Alto_Nivel y lo usas para otras reglas)
    Donde Aliases_Facebook_Red  son los segmentos que les había indicado revisar en myip.ms
    Donde Aliases_Web puede ser un alias de los puertos 80 y 443

    Saludos



  • Misaal, gracias por el aporte, muy bien explicado, pero a ti como te fue con la configuración??????


  • Rebel Alliance

    En realidad, puedes hacer ambas cosas con una misma regla…  :o

    Cómo ?

    Creas un alias (IPs), digamos "jefes" (ya que usualmente las PCs/IP de los "jefes" son las que si pueden utilizar FB)

    Luego, modificas la regla de bloqueo de FB que ya tienes creada, y en lugar de utilizar como "Source" "Lan net" utilizas " ! jefes"  ("Not" Jefes)… de esa forma tu regla queda: bloquea lo que NO sea Jefes(alias con las IPs de las PCs que puedan salir a FB) con destino a FB (Alisa con las IPs de FB)

    De esa forma tienes 2 Reglas en una....

    Esto funciona sólo si por "debajo" de la regla de bloqueo tienes una regla "Pass"  bastante "permisiva" (que deje pasar http/https a cualquier destino).



  • Cierto!!!, puedes usar el Not; pero la experiencia te enseñará a que debes tener una regla solo para los "jefes" porque a medida que pasa el tiempo, surgirán nuevos requerimientos, y es allí donde de manera inexorable tendrás que llegar a establecer una regla exclusiva para los chivos (como decimos en Venezuela a los jefes).  ;D



  • Totalmente de acuerdo



  • gracias por sus consejos, aplicare estos en mi firewall y les avisare si tengo exito o no. de antemano muchas gracias.



  • @c_setup

    pues de momento no me funciona. lo e intentado con el tutorial que comente. al problema que no funciona, se añade el problema que cuando hago pruebas, de repente me pasa todo el trafico del lan por el tunel vpn. (tengo un vpn configurado con ipvanish, solo el televisor pasa por el tunel)
    muy extraño….seguire probando...



  • muchas gracias ppt me sirvio tu recomendacion, algo muy sencillo pero muy efeciente. gracias nuevamente por la aclaracion.