Bloqueio do facebook HTTPS



  • Vou mostrar o que fiz para bloquear acesso ao famigerado  >:(FACEBOOK >:(, seja HTTP ou HTTPS. Parece meio neurótico, mas é assim mesmo que tem que ser em empresas.
    Squid3 transparente, SquidGuard e SARG.
    Bom, vamos lá:
    1- primeiramente, o bloqueio vem pelo Antivirus TRENDMICRO onde bloqueio as categorias de redes sociais, porém ele só bloqueia HTTP. Para HTTPS abaixo vou listar as formas que uso .
    2- Criação de aliás com as redes do facebook;
    https://drive.google.com/file/d/0B18eBNC7okQmaFlybnl6XzFNOVk/view
    https://drive.google.com/open?id=0B18eBNC7okQmTG1pNlNidHhvalk
    <name>BloqueioFB</name>

    <address>103.4.96.0/22 173.252.64.0/18 173.252.64.0/19 173.252.70.0/24 173.252.96.0/19 179.60.192.0/22 179.60.192.0/24 179.60.193.0/24 179.60.194.0/24 179.60.195.0/24 185.60.216.0/22 204.15.20.0/22 31.13.24.0/21 31.13.64.0/18 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.67.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.81.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.87.0/24 31.13.88.0/24 31.13.89.0/24 31.13.90.0/24 31.13.91.0/24 31.13.92.0/24 31.13.93.0/24 31.13.94.0/24 31.13.95.0/24 31.13.96.0/19 45.64.40.0/22 66.220.144.0/20 66.220.144.0/21 66.220.152.0/21 66.220.159.0/24 69.171.224.0/19 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.253.0/24 69.171.255.0/24 69.63.176.0/20 69.63.176.0/21 69.63.176.0/24 69.63.178.0/24 69.63.184.0/21 69.63.186.0/24 74.119.76.0/22 31.13.24.0/21 31.13.64.0/18 66.220.152.0/21 69.171.224.0/19 69.63.0.0/16 74.119.76.0/22 103.4.96.0/22 173.252.64.0/18 204.15.0.0/16</address>

    3- Criação de um álias com a lista de ip's que quero liberar o acesso;
    4- Criação da regra de firewall bloqueando o álias criado;
    5- Criação da regra de firewall liberando o acesso ao álias da lista de ips liberados;
    https://drive.google.com/open?id=0B18eBNC7okQmRlVrZGI4VS03Skk
    Só isso já basta pra bloquear totalmente o acesso. Até para os smartphones que por ventura acessarem a rede wifi que estiver na mesma faixa de rede, enfim, só vai navegar se o endereço ip estiver na lista de liberados.

    Mas não me dei por satisfeito e implementei mais umas coisinhas.
    1- Criação de horários na aba times para liberar o tal face em horário especifico;
    2- Criação de categoria, bloqueando por dominio, url e expressão;
    https://drive.google.com/open?id=0B18eBNC7okQmalNwXzY4R3FlSDg
    3- Criação de grupo ACL onde libero o face nos horários pré-determinados na regra anterior;
    https://drive.google.com/open?id=0B18eBNC7okQmRzQ3Qk0yZUZLXzA
    https://drive.google.com/open?id=0B18eBNC7okQmRG9QNVF5S1ctbmM
    4- Finalmente o bloqueio por categorias no horario comercial . Blacklist Shallalist editada por mim.
    https://drive.google.com/open?id=0B18eBNC7okQmQWw4czFMSjl3T3M
    5- Pra conferir os acessos o SARG;
    https://drive.google.com/open?id=0B18eBNC7okQmbUFlRXVUU1g0dDA

    Essa é a solução que uso aqui na empresa. Espero que sirva para ajudar mais usuarios do pfsense com o mesmo problema. Quaisquer dúvidas, criticas ou sugestões são bem aceitas.



  • Francisco, boa tarde.

    Aqui na empresa estou com problemas para permitir ou bloquear o acesso, o firewall blqueia mesmo que a regra libera o acesso any to any

    O estranho é, o firewall registra o ip de acesso diferente das redes do facebook (cidr), por exemplo, acabei de tentar o acesso e o firewall efetuou o bloqueio dos ips de destino 201.6.5.72:443 e  201.6.5.55:443 com isso a pagina carregou desconfigurada conforme anexo.

    Voce ja teve este problema?

    ![Pagina Facebook desconfigurada.png](/public/imported_attachments/1/Pagina Facebook desconfigurada.png)
    ![Pagina Facebook desconfigurada.png_thumb](/public/imported_attachments/1/Pagina Facebook desconfigurada.png_thumb)



  • Sim, já aconteceu, quando eu usava o proxy no navegador. nao tenho certeza do que pode ser. talvez cache. atualmente nao tenho tido mais esse problema. olha as figuras das minhas regras, e deixa igual, tem que funcionar. Pode alguem estar usando algo do tipo Ultrasurf tb.

    Minha rede é toda via dhcp onde a rede é configurada com dns, gateway automaticamente, mascara /23 e tudo passa pelo pfsense pra poder sair direto só se eu colocar o ip no Bypass Proxy do Squid, e mesmo usando dhcp eu ainda reservo os ips o que faz com que todas maquinas que logam no Active diretory sempre tenham o mesmo ip e fica mais facil de controlar. Só nao testei ainda com o ultrasurf dessas  versoes novas se ta passando.



  • Com proxy ativo é muito simples bloquear…



  • @andretoniate:

    Francisco, boa tarde.

    Aqui na empresa estou com problemas para permitir ou bloquear o acesso, o firewall blqueia mesmo que a regra libera o acesso any to any

    O estranho é, o firewall registra o ip de acesso diferente das redes do facebook (cidr), por exemplo, acabei de tentar o acesso e o firewall efetuou o bloqueio dos ips de destino 201.6.5.72:443 e  201.6.5.55:443 com isso a pagina carregou desconfigurada conforme anexo.

    Voce ja teve este problema?

    Explique melhor seu cenário para podermos ver onde vc esta errando e poder lhe ajudar de forma direta.



  • bloquei sem problemas o facebook, mas utiliza o proxy automatico na sua rede com wpad e tudo vai dar certo.



  • @jvicente:

    Explique melhor seu cenário para podermos ver onde vc esta errando e poder lhe ajudar de forma direta.

    jvicente,

    Estou usando Squid 2.7 + squidGuard com proxy transparente

    Gostaria de liberar ou bloquear o facebook pelo firewall, porém além dos ips informado pelo nosso amigo Francisco Dias, registrei outros ips quando tento acessar https://pt-br.facebook.com por uma estacao, e os ips são bloqueados 200.174.107.27:443, 200.174.107.34:443

    Alem de criar o Aliases com a CIDR do facebook e incrementei os ips identificados tbm, a regra esta acima de todas e valendo para alguns ips que estou testando, no caso a mesma estacao.

    No aliases inseri a rede 200.174.107.0/24 para bloquear ou liberar dependendo do caso, no caso de bloqueio o firewall registra que foi bloqueado mas a pagina exibe desconfigurada

    Quando configuro a regra para liberar, a pagina carrega normal, e alguns ips passam outros são bloqueados conforme imagem

    ![log firewall ao acessar facebook.PNG_thumb](/public/imported_attachments/1/log firewall ao acessar facebook.PNG_thumb)
    ![log firewall ao acessar facebook.PNG](/public/imported_attachments/1/log firewall ao acessar facebook.PNG)



  • IPs do Facebook:

    204.15.20.0/22
          69.63.176.0/20
          66.220.144.0/20
          66.220.144.0/21
          69.63.184.0/21
          69.63.176.0/21
          74.119.76.0/22
          69.171.255.0/24
          173.252.64.0/18
          69.171.224.0/19
          69.171.224.0/20
          103.4.96.0/22
          69.63.176.0/24
          173.252.64.0/19
          173.252.70.0/24
          31.13.64.0/18
          31.13.24.0/21
          66.220.152.0/21
          66.220.159.0/24
          69.171.239.0/24
          69.171.240.0/20
          31.13.64.0/19
          31.13.64.0/24
          31.13.65.0/24
          31.13.67.0/24
          31.13.68.0/24
          31.13.69.0/24
          31.13.70.0/24
          31.13.71.0/24
          31.13.72.0/24
          31.13.73.0/24
          31.13.74.0/24
          31.13.75.0/24
          31.13.76.0/24
          31.13.77.0/24
          31.13.96.0/19
          31.13.66.0/24
          173.252.96.0/19
          69.63.178.0/24
          31.13.78.0/24
          31.13.79.0/24
          31.13.80.0/24
          31.13.82.0/24
          31.13.83.0/24
          31.13.84.0/24
          31.13.85.0/24
          31.13.86.0/24
          31.13.87.0/24
          31.13.88.0/24
          31.13.89.0/24
          31.13.90.0/24
          31.13.91.0/24
          31.13.92.0/24
          31.13.93.0/24
          31.13.94.0/24
          31.13.95.0/24
          69.171.253.0/24
          69.63.186.0/24
          31.13.81.0/24
          179.60.192.0/22
          179.60.192.0/24
          179.60.193.0/24
          179.60.194.0/24
          179.60.195.0/24
          185.60.216.0/22
          45.64.40.0/22
          185.60.216.0/24
          185.60.217.0/24
          185.60.218.0/24
          185.60.219.0/24
          129.134.0.0/16
          157.240.0.0/16
          204.15.20.0/22
          69.63.176.0/20
          69.63.176.0/21
          69.63.184.0/21
          66.220.144.0/20
              69.63.176.0/20

    IPs do Twitter:

    199.96.56.0/24
          199.96.57.0/24
          199.16.156.0/22
          199.59.148.0/22
          192.133.76.0/22
          192.133.76.0/23
          199.96.59.0/24
          199.96.58.0/24
          199.96.63.0/24
          199.96.56.0/21
          103.252.112.0/22
          103.252.114.0/23
          185.45.4.0/23
          199.96.62.0/23
          199.96.58.0/23
          185.45.6.0/23
          192.44.68.0/23
          192.48.236.0/23
          69.12.56.0/21
          104.244.40.0/21
          104.244.42.0/24
          103.252.112.0/23
          104.244.43.0/24
          185.45.5.0/24
          185.45.4.0/24
          199.16.156.0/22
          199.96.57.0/24
          199.96.63.0/24
          192.133.76.0/22
          8.25.194.0/23
          199.96.61.0/24
          192.133.78.0/23
          199.96.59.0/24
          8.25.196.0/23
          199.96.60.0/24
          199.96.56.0/24
          199.96.58.0/24
          199.59.148.0/22
          199.96.56.0/21
          192.133.76.0/23
          8.25.195.0/24
          8.25.194.0/24
          8.25.197.0/24
          8.25.196.0/24
          103.252.114.0/23
          103.252.112.0/23
          103.252.112.0/22

    IPs do WhatsApp:

    31.13.64.51/32
    31.13.65.49/32
    31.13.66.49/32
    31.13.67.51/32
    31.13.68.52/32
    31.13.69.240/32
    31.13.70.49/32
    31.13.71.49/32
    31.13.72.52/32
    31.13.73.49/32
    31.13.74.49/32
    31.13.75.52/32
    31.13.76.81/32
    31.13.77.49/32
    31.13.78.53/32
    31.13.79.195/32
    31.13.80.53/32
    31.13.81.53/32
    31.13.82.51/32
    31.13.83.51/32
    31.13.84.51/32
    31.13.85.51/32
    31.13.86.51/32
    31.13.87.51/32
    31.13.88.49/32
    31.13.90.51/32
    31.13.91.51/32
    31.13.92.52/32
    31.13.93.51/32
    31.13.94.52/32
    31.13.95.63/32
    50.22.198.204/30
    50.22.210.32/30
    50.22.210.128/27
    50.22.225.64/27
    50.22.235.248/30
    50.22.240.160/27
    50.23.90.128/27
    50.97.57.128/27
    75.126.39.32/27
    108.168.174.0/27
    108.168.176.192/26
    108.168.177.0/27
    108.168.180.96/27
    108.168.254.65/32
    108.168.255.224/32
    108.168.255.227/32
    158.85.0.96/27
    158.85.5.192/27
    158.85.46.128/27
    158.85.48.224/27
    158.85.58.0/25
    158.85.61.192/27
    158.85.224.160/27
    158.85.233.32/27
    158.85.249.128/27
    158.85.249.224/27
    158.85.254.64/27
    169.44.36.0/25
    169.44.57.64/27
    169.44.58.64/27
    169.44.80.0/26
    169.44.82.96/27
    169.44.82.128/27
    169.44.82.192/26
    169.44.83.0/26
    169.44.83.96/27
    169.44.83.128/27
    169.44.83.192/26
    169.44.84.0/24
    169.44.85.64/27
    169.45.71.32/27
    169.45.71.96/27
    169.45.87.128/26
    169.45.169.192/27
    169.45.182.96/27
    169.45.210.64/27
    169.45.214.224/27
    169.45.219.224/27
    169.45.237.192/27
    169.45.238.32/27
    169.53.29.128/27
    169.53.48.32/27
    169.53.71.224/27
    169.53.250.128/26
    169.53.252.64/27
    169.53.255.64/27
    169.54.2.160/27
    169.54.44.224/27
    169.54.51.32/27
    169.54.55.192/27
    169.54.193.160/27
    169.54.210.0/27
    169.54.222.128/27
    169.55.69.128/26
    169.55.74.32/27
    169.55.126.64/26
    169.55.210.96/27
    169.55.235.160/27
    173.192.162.32/27
    173.192.219.128/27
    173.192.222.160/27
    173.192.231.32/27
    173.193.205.0/27
    173.193.230.96/27
    173.193.230.128/27
    173.193.230.192/27
    173.193.239.0/27
    174.36.208.128/27
    174.36.210.32/27
    174.36.251.192/27
    174.37.199.192/27
    174.37.217.64/27
    174.37.231.64/27
    174.37.243.64/27
    174.37.251.0/27
    179.60.192.51/32
    179.60.193.51/32
    179.60.195.51/32
    184.173.136.64/27
    184.173.147.32/27
    184.173.161.64/32
    184.173.161.160/27
    184.173.173.116/32
    184.173.179.32/27
    185.60.216.53/32
    192.155.212.192/27
    198.11.193.182/31
    198.11.251.32/27
    198.23.80.0/27
    208.43.115.192/27
    208.43.117.79/32
    208.43.122.128/27

    Basta criar um ALIAS para cada um dos indesejados (face, twitter, whatsapp), criar uma regra de firewall liberando os IPs permitidos (diretoria, por exemplo) e na regra seguinte bloquear estes destinos.

    Divirtam-se…  ;)



  • Todos os IPs do Whats App podem ser pegos aqui:
    https://www.whatsapp.com/cidr.txt
    Dá para criar um alias por url e não ter que entrar com todos os IPs na mão. Será que existe algo parecido para facebook e Twitter?



  • @x-ecuter:

    Dá para criar um alias por url e não ter que entrar com todos os IPs na mão. Será que existe algo parecido para facebook e Twitter?

    Não precisa entrar com todos os IPs na mão, utilize a opção Bulk import aliases from list em  Firewall: Aliases


Log in to reply