Bloqueio do https do Facebook

Ola Pessoal,

Aguem poderia mim ajudar em bloqueiar o acesso ao facebook.
Gostaria de uma regra para Bloquear os ips do face e o Https.

Bom dia,

Você utiliza algum proxy? O sites https podem ser bloqueados negando a porta 443 no firewall (ou no proxy).

Brother, se vc bloquear a porta 443 nao acessara mais nenhum site seguro.
Sugiro a vc fazer controle por palavras. Pode dar mais trabalho pq os usuários sempre ficam procurando algo pra burlar esse bloqueio, mas acho mais eficiente.

#Bloqueando por palavra onde o que esta entre aspas é o caminho onde esta salvo o documento com as palavras a serem bloqueadas.
acl bloquear_palavra url_regex -i "/etc/squid/bloquear_palavra"

#Aqui vc da permissão ou no nosso caso bloqueia o acesso as palavras contidas no documento.
http_access deny bloquear_palavra

Bom dia, eu vi em um outro forum (nao lembro o qual) um comando que resolveu, voce cria um arquivo com os ips do facebook e logo apos da um comando. funciona, mas minha duvida é, esse comando, como eu faço para colocar ele para apenas um IP? pois até a minha maquina bloqueou isso, entao eu quero bloquear apenas para alguns IPs. Alguem pode ajudar?

ips arquivo chamado face:
66.220.158.11
66.220.153.15
66.220.158.18
69.171.242.11
69.171.242.12
69.171.242.14
69.171.242.40
69.63.176.13
69.63.181.12
69.63.181.15
69.63.184.142
69.63.187.17
69.63.187.18
69.63.187.19
69.63.189.39
69.63.189.11
69.63.189.34
69.63.190.18
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/24
66.220.144.0/21
204.15.20.0/22

Comando:
for end in `cat /etc/squid/face`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

Se usar um proxy, acho mais conveniente bloquear pelo proxy, assim você não polui tanto o firewall.
E se bloquear pela porta https(443) não vai poder acessar mais nenhum site "seguro" como o amigo ai em cima citou :s

kra se a sua vontade é bloquear literalmente va logo na raiz parcero rs...iptables resolve.
faça isso :

iptables OUTPUT -d www.facebook.com REJECT

problema resolvido ...

pratico e direto.

o problema é que sites em https nao passam pelo proxy, entao nao adianta bloquear apenas o facebook.com e sim o https, esse codigo que eu mostrei em cima funciona mas eu nao consegui coloca-lo apenas para uma maquina, isso bloqueia a rede inteira do facebook. entao preciso de ajuda para fazer esse codigo ou um parecido que funcione, bloquear o https do facebook em um determinado IP.

Já tentou logar no facebook com conexão https?

No meu caso ele ao logar, ele é redirecionado para http e não acessa. A página do facebook até abre, porém NÃO LOGA. Mesmo entrando como https, ele NÃO loga pois ocorre o redirecionamento para http.

Abs.

onde eu trabalho passo pelo mesmo problema, quando usuario insere usuario e senha no https, ao redirecionar pro http ele bloqueia, porem se pressionar F5 pra atualizar a pagina, automaticamente ele cai na home do usuario! e nao adianta bloquear por palavras nada que utilize o https, pois o proxy transparente nao consegue bloquear.

cara desculpa, não tinha prestado atenção na sua pergunta, só estava atento na primeira questão, mais blz vamos la.
voce pode fazer essa liberação de varias maneiras, uma delas seria trabalhar com whitelist no squid:

acl rede 192.168.2.0/24

acl sitebloqueado url_regex -i "/etc/squid/sites"
acl ipliberado src "/etc/squid/ipliberado"

http_access deny sitebloqueado
http_access allow ipleberado

http_access allow rede
http_access deny all

ou seja, os ips que estiverem em "ipleberado" tera acesso aos sites bloqueados.
claro que vc pode resolver de outra maneira, mais uma ideia seria esta acima.
a atenção esta focada nas acls ipliberados e sitebloqueado, as demais são para enfase.

outra que tbm poderia funcionar seria:

o iptables esta bloqueando geral o face.

iptables -A INPUT -d facebook.com

mas o ip 192.168.2.50 tem que ter acesso:

iptables -A INPUT -s 192.168.2.50 -j ACCEPT

###############################################
iptables -A INPUT -d facebook.com -j REJECT
# as regras o bloqueia o face para todos e libera p/ .50
iptables -A INPUT -s 192.168.2.50 -j ACCEPT
###############################################

lembre-se que isto é apenas uma ideia, voce pode ser mais dinamico, mais especifico, temos que ver quais são as
politicas do seu firewall(DROP,ACCEPT, ver como esta FORWARD,OUTPUT).no caso o .50 não tera restrição.

espero ter ajudado em alguma coisa pelo menos

Cara, obrigado pela ajuda, na verdade oque voce falou eu modifiquei a minha regra ainda estou testando.
o objetivo é bloquear o facebook em HTTPS (algumas maquinas nao sei como ficam navegando em https) em determinados ips, entao fiz o seguinte.

criei um arquivo chamado face com os ips do facebook a serem bloqueados (como mostra no post acima)
logo apos dei o comando
##############################################################################
for end in `cat /etc/squid/face`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $end -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
iptables -t nat -A PREROUTING -s 192.168.0.23 -p tcp --dport 443 -j ACCEPT;
done
##############################################################################

onde o ip 192.168.0.23 é o ip que NAO pode ter o facebook bloqueado.
vou testar e coloco as modificações, se alguem conseguir melhorar este comando posta ai.

Não sei vc, mas aqui, eu bloqueio TUDO, e vou liberando os sites de acordo com o que o pessoal precisa, éles só conseguem navegar em sites que estão em uma acl. E também fiz niveis de usuarios, cada nivel pode acessar determinadas coisas, além dos sites liberados. dps posto