Bloqueio do https do Facebook

edercleymacedo
(usa Fedora)

Enviado em 02/08/2011 - 20:39h

Ola Pessoal,

Aguem poderia mim ajudar em bloqueiar o acesso ao facebook.
Gostaria de uma regra para Bloquear os ips do face e o Https.

eduardo
(usa Linux Mint)

Enviado em 03/08/2011 - 09:16h

Bom dia,

Você utiliza algum proxy? O sites https podem ser bloqueados negando a porta 443 no firewall (ou no proxy).

marcelohbr
(usa CentOS)

Enviado em 03/08/2011 - 09:47h

Brother, se vc bloquear a porta 443 nao acessara mais nenhum site seguro.
Sugiro a vc fazer controle por palavras. Pode dar mais trabalho pq os usuários sempre ficam procurando algo pra burlar esse bloqueio, mas acho mais eficiente.

#Bloqueando por palavra onde o que esta entre aspas é o caminho onde esta salvo o documento com as palavras a serem bloqueadas.
acl bloquear_palavra url_regex -i "/etc/squid/bloquear_palavra"

#Aqui vc da permissão ou no nosso caso bloqueia o acesso as palavras contidas no documento.
http_access deny bloquear_palavra

junior06_182
(usa Ubuntu)

Enviado em 05/09/2011 - 08:18h

Bom dia, eu vi em um outro forum (nao lembro o qual) um comando que resolveu, voce cria um arquivo com os ips do facebook e logo apos da um comando. funciona, mas minha duvida é, esse comando, como eu faço para colocar ele para apenas um IP? pois até a minha maquina bloqueou isso, entao eu quero bloquear apenas para alguns IPs. Alguem pode ajudar?

ips arquivo chamado face:
66.220.158.11
66.220.153.15
66.220.158.18
69.171.242.11
69.171.242.12
69.171.242.14
69.171.242.40
69.63.176.13
69.63.181.12
69.63.181.15
69.63.184.142
69.63.187.17
69.63.187.18
69.63.187.19
69.63.189.39
69.63.189.11
69.63.189.34
69.63.190.18
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/24
66.220.144.0/21
204.15.20.0/22

Comando:
for end in `cat /etc/squid/face`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

DMS_
(usa elementary OS)

Enviado em 05/09/2011 - 09:30h

Se usar um proxy, acho mais conveniente bloquear pelo proxy, assim você não polui tanto o firewall.
E se bloquear pela porta https(443) não vai poder acessar mais nenhum site "seguro" como o amigo ai em cima citou :s

szaboszlai
(usa Debian)

Enviado em 05/09/2011 - 11:13h

kra se a sua vontade é bloquear literalmente va logo na raiz parcero rs...iptables resolve.
faça isso :

iptables OUTPUT -d www.facebook.com REJECT

problema resolvido ...

pratico e direto.

junior06_182
(usa Ubuntu)

Enviado em 05/09/2011 - 13:07h

o problema é que sites em https nao passam pelo proxy, entao nao adianta bloquear apenas o facebook.com e sim o https, esse codigo que eu mostrei em cima funciona mas eu nao consegui coloca-lo apenas para uma maquina, isso bloqueia a rede inteira do facebook. entao preciso de ajuda para fazer esse codigo ou um parecido que funcione, bloquear o https do facebook em um determinado IP.

thi
(usa Ubuntu)

Enviado em 05/09/2011 - 20:57h

Já tentou logar no facebook com conexão https?

No meu caso ele ao logar, ele é redirecionado para http e não acessa. A página do facebook até abre, porém NÃO LOGA. Mesmo entrando como https, ele NÃO loga pois ocorre o redirecionamento para http.

Abs.

stringuetta
(usa Linux Mint)

Enviado em 05/09/2011 - 21:13h

onde eu trabalho passo pelo mesmo problema, quando usuario insere usuario e senha no https, ao redirecionar pro http ele bloqueia, porem se pressionar F5 pra atualizar a pagina, automaticamente ele cai na home do usuario! e nao adianta bloquear por palavras nada que utilize o https, pois o proxy transparente nao consegue bloquear.

szaboszlai
(usa Debian)

Enviado em 05/09/2011 - 21:38h

cara desculpa, não tinha prestado atenção na sua pergunta, só estava atento na primeira questão, mais blz vamos la.
voce pode fazer essa liberação de varias maneiras, uma delas seria trabalhar com whitelist no squid:

acl rede 192.168.2.0/24

acl sitebloqueado url_regex -i "/etc/squid/sites"
acl ipliberado src "/etc/squid/ipliberado"

http_access deny sitebloqueado
http_access allow ipleberado

http_access allow rede
http_access deny all

ou seja, os ips que estiverem em "ipleberado" tera acesso aos sites bloqueados.
claro que vc pode resolver de outra maneira, mais uma ideia seria esta acima.
a atenção esta focada nas acls ipliberados e sitebloqueado, as demais são para enfase.

outra que tbm poderia funcionar seria:

o iptables esta bloqueando geral o face.

iptables -A INPUT -d facebook.com

mas o ip 192.168.2.50 tem que ter acesso:

iptables -A INPUT -s 192.168.2.50 -j ACCEPT

###############################################
iptables -A INPUT -d facebook.com -j REJECT
# as regras o bloqueia o face para todos e libera p/ .50
iptables -A INPUT -s 192.168.2.50 -j ACCEPT
###############################################

lembre-se que isto é apenas uma ideia, voce pode ser mais dinamico, mais especifico, temos que ver quais são as
politicas do seu firewall(DROP,ACCEPT, ver como esta FORWARD,OUTPUT).no caso o .50 não tera restrição.

espero ter ajudado em alguma coisa pelo menos

junior06_182
(usa Ubuntu)

Enviado em 06/09/2011 - 08:33h

Cara, obrigado pela ajuda, na verdade oque voce falou eu modifiquei a minha regra ainda estou testando.
o objetivo é bloquear o facebook em HTTPS (algumas maquinas nao sei como ficam navegando em https) em determinados ips, entao fiz o seguinte.

criei um arquivo chamado face com os ips do facebook a serem bloqueados (como mostra no post acima)
logo apos dei o comando
##############################################################################
for end in `cat /etc/squid/face`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
iptables -t nat -A PREROUTING -s 192.168.0.23 -p tcp --dport 443 -j ACCEPT;
done
##############################################################################

onde o ip 192.168.0.23 é o ip que NAO pode ter o facebook bloqueado.
vou testar e coloco as modificações, se alguem conseguir melhorar este comando posta ai.

DMS_
(usa elementary OS)

Enviado em 06/09/2011 - 09:46h

Não sei vc, mas aqui, eu bloqueio TUDO, e vou liberando os sites de acordo com o que o pessoal precisa, éles só conseguem navegar em sites que estão em uma acl. E também fiz niveis de usuarios, cada nivel pode acessar determinadas coisas, além dos sites liberados. dps posto