Bloqueio do https do Facebook [Squid/Iptables]

edercleymacedo · 2011-08-02T20:39:46-03:00

Ola Pessoal, Aguem poderia mim ajudar em bloqueiar o acesso ao facebook. Gostaria de uma regra para Bloquear os ips do face e o Https.

25. bloqueio facebook com squidguad

Enviado em 23/11/2011 - 17:58h

Ola pessoal,

ha poucos dias estava passando pelo mesmo problema, (bloquear o https facebook, a pricipio não tive exeto aplicando as configuraçãos pelo squidGuard.

quando está preste a fazer o que foi sugerido, resolvi fazer mais uma tentativa com o squidGuard. o procedimento foi simpes:

1º procedimento coloquei o "dest e src" no fim da lista(não bloqueou)

dbhome /var/lib/squidGuard/db/BL
logdir /var/log/squidGuard/
dest [*****] {
domainlist [*****]/domains
urllist [*****]/urls
}
.
.
.
.
.
.
.

src bloqueio_facebook {
userlist blacklistface/users
}
dest bloq_face {
domainlist blacklistface/domains
urllist blacklistface/urls
}

2º procedimento coloquei o "dest e src do facebook" no inico da lista e funcionou tanto para o HTTP quanto o HTTPS e nao foi preciso mexer no IPTABLES.

por algum motivo ainda desconhecido algum grupo estava dando permissão para o site.

dbhome /var/lib/squidGuard/db/BL
logdir /var/log/squidGuard/
src bloqueio_facebook {
userlist blacklistface/users
}
dest bloq_face {
domainlist blacklistface/domains
urllist blacklistface/urls
}
dest [*****] {
domainlist [*****]/domains
urllist [*****]/urls
}
.
.
.
.
.
.
.

acl {

bloqueio_facebook {
pass white !bloq_face !msn_inspetorias ![*****] !spyware !chat !dating !gamble !warez !drugs !webradio !redirector !aggressive !violence !downloads !blacklist
redirect http://atenaserro.br/ERR_ACCESS_DENIED_SQUIDGUARD.htm
}

espero que tenha ajudado.

26. Facebook - no horário de almoço

Enviado em 06/12/2011 - 17:13h

Amigos,

Gostaria de uma sugestão se teria como usar a regra do IPtables mencionada anteriormente, por um determinado periodo de tempo, usando o Cron. Sendo que uso o Endian comunity.

Será que alguém tem uma sugestão ?

Atualmente, fiz um whois no facebook and busquei esses IPs e redes, os mesmos listados por um outro colega aqui.

66.220.158.11
66.220.153.15
66.220.158.18
69.171.242.11
69.171.242.12
69.171.242.14
69.171.242.40
69.63.176.13
69.63.181.12
69.63.181.15
69.63.184.142
69.63.187.17
69.63.187.18
69.63.187.19
69.63.189.39
69.63.189.11
69.63.189.34
69.63.190.18
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/24
66.220.144.0/21
204.15.20.0/22

27. Re: Bloqueio do https do Facebook

Enviado em 17/12/2011 - 10:59h

Meu caro
wesvia
(usa CentOS)

na declaração de variáveis deste script que voce postou, quem seria a variável $face???

Espero respostas!! vlw

28. REGRA SQUID ACL

Enviado em 22/02/2012 - 23:45h

No Squid "NORMAL" cria a acl que nega o site de redes sociais

exemplo:

CRIE ESSAS DUAS REGRAS

#### BLOQUEIA REDES SOCIAIS ####

acl redes_sociais url_regex -i "/etc/squid/redes_sociais"
http_access deny redes_sociais

OBS: Dentro do etc/squid criar o arquivo redes_sociais

#### PALAVRAS PORNOGRAFICAS ####

acl palavras_redes_s dstdom_regex "/etc/squid/palavras_redes_s"

http_access deny palavras_redes_s

OBS: Dentro do etc/squid criar o arquivo palavras_redes_s

no arquivo redes_sociais vai ser + - assim:

http://www.facebook.com
https://www.facebook.com
https://www.facebook.com*
www.facebook.com*

no arquivo palavras_redes_s vai conter as palavras +- assim:

facebook
facebook.com
facebook*

############################## FIM ########################

Cara se mesmo assim acessar o facebook chuta que é macumba!
Abraço! Espero ter ajudado!!

29. Re: Bloqueio do https do Facebook

Enviado em 27/02/2012 - 10:42h

Pessoal a forma que consegui bloquear o acesso pela porta 443, foi fazendo o bloqueio pelo IP do próprio facebook, criei um arquivo chamado facebook e dentro dele adicionei os ips que desejo que seja bloqueado o acesso pela porta 443, ficando assim não mais burlavel utilizando o "https" , já que o bloqueio pela porta 80 quem faz é o próprio proxy transparente.

# Bloqueio do dominio facebook.com por IP
for FACEBOOK in `cat /etc/firewall/facebook`
do
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.0.0/16 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.149.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.156.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.158.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.63.0.0/16 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.63.190.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.0.0/16 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.224.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.227.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.229.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.239.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.242.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.255.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.220.149.0/24 --dport 443 -j DROP

$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.0.0/16 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.149.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.156.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.158.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.63.0.0/16 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.63.190.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.0.0/16 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.224.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.227.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.229.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.239.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.242.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.255.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.220.149.0/24 --dport 443 -j DROP
done

30. Re: Bloqueio do https do Facebook

Enviado em 27/02/2012 - 10:45h

Caso alguém for utilizar as mesmas regras, troquem a variavel $NETFILTER por iptables. ;-)

31. Re: Bloqueio do https do Facebook

Enviado em 27/02/2012 - 11:36h

massari escreveu:

Pessoal a forma que consegui bloquear o acesso pela porta 443, foi fazendo o bloqueio pelo IP do próprio facebook, criei um arquivo chamado facebook e dentro dele adicionei os ips que desejo que seja bloqueado o acesso pela porta 443, ficando assim não mais burlavel utilizando o "https" , já que o bloqueio pela porta 80 quem faz é o próprio proxy transparente.

# Bloqueio do dominio facebook.com por IP
for FACEBOOK in `cat /etc/firewall/facebook`
do
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.0.0/16 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.149.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.156.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 66.220.158.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.63.0.0/16 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.63.190.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.0.0/16 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.224.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.227.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.229.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.239.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.242.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.171.255.0/24 --dport 443 -j DROP
$NETFILTER -A OUTPUT -p tcp -s $FACEBOOK -d 69.220.149.0/24 --dport 443 -j DROP

$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.0.0/16 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.149.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.156.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 66.220.158.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.63.0.0/16 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.63.190.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.0.0/16 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.224.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.227.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.229.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.239.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.242.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.171.255.0/24 --dport 443 -j DROP
$NETFILTER -A FORWARD -p tcp -s $FACEBOOK -d 69.220.149.0/24 --dport 443 -j DROP
done

esse método funciona até um tempo, mas o Facebook troca de ips constantemente, ae é necessário atualizar com frequência esse arquivo.
Mesmo assim é valido a contribuição para proxy transparent.

Desde que configurei o proxy autenticado e iniciei as politicas do firewall (iptables) em DROP, e liberei somente os serviços necessários.

e forcei os clientes a usarem o proxy, se tirar o ip:porta no navegador fica sem net, se colocar navega com restrição do proxy, e se tentar colocar https://facebook.com é barrado, porém gmail.com e cia normal.

32. saitam

Enviado em 27/02/2012 - 11:50h

Realmente proxy autenticado é a melhor opção, estou concluido as configuração do novo servidor que colocarei em produção aqui, no qual estarei utilizando o proxy autenticado, porém para sanar as burlações via proxy transparente é manter o arquivo sempre atualizado, esse processo aqui já estava rodando algumas semanas, porém nesse fds vi que ele pegou um ip diferente e tive que atualizar, fiz a mesma coisa para o twitter ;-)

33. Dica

Enviado em 27/02/2012 - 11:56h

http://vivaolinux.com.br/dica/Bloquear-Facebook-e-Youtube-por-HTTPS

34. Bloqueio do face

Enviado em 12/04/2012 - 10:28h

Amigo,

você cria um arquivo com esses comandos ou insere esses comandos no firewall

ex:
################
#!/bin/bash

comandos

################

se ainda te interessar fiz o seguinte:

criei um arquivo chamado face em /etc/face com os ips que eu conseguir do facebook

segue conteudo

66.220.158.18
66.220.158.11
69.171.229.11
66.220.153.15
66.220.153.70
66.220.158.74
69.171.247.64
66.220.156.64
69.63.189.74
69.171.242.74
66.220.149.18
69.171.242.70
69.171.247.96
66.220.158.70
66.220.149.11
69.171.242.11
69.171.242.11
69.171.242.12
69.171.242.14
69.171.242.40
69.63.176.13
69.63.181.12
69.63.181.15
69.63.184.142
69.63.187.17
69.63.187.18
69.63.187.19
69.63.189.39
69.63.189.11
69.63.189.34
69.63.190.18
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/24
66.220.144.0/21
204.15.20.0/22

---------------

depois ou adciona os comandos abaixo no firewall ou cria um script como o exemplo

#!/bin/bash

for i in `cat /etc/face`
do
iptables -A OUTPUT -d $i -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d $i -p tcp --dport 443 -j REJECT
iptables -A INPUT -s $i -p tcp --dport 443 -j DROP
iptables -A OUTPUT -d $i -p tcp --dport 445 -j REJECT
iptables -A FORWARD -d $i -p tcp --dport 445 -j REJECT
iptables -A INPUT -s $i -p tcp --dport 445 -j DROP
done

###############

salva com o nome face.sh em /etc/init.d/face.sh

da permissão de execução chmod +x /etc/init.d/face.sh

e joga na inicialização do kernel

se for baseado em debian execute o comando update-rc.d face.sh defaults

se for baseado em Red Hat execute chkconfig face.sh on

qualquer dúvida entra em contato

35. Re: Bloqueio do https do Facebook

Enviado em 12/04/2012 - 10:32h

Olá amigo tudo bem?
Você pode bloquear o acesso ao facebook, através de alguns programas pela ajuda de um tutorial. O link é do Tecmundo então os créditos se vão a ambos.

http://www.tecmundo.com.br/internet/11874-como-bloquear-o-acesso-ao-facebook-no-computador-.htm

Espero ter ajudado, se ainda houver dúvidas poste aqui e teremos prazer em ajuda-lo, tenha um bom dia.

36. Script

Enviado em 11/05/2012 - 11:57h

Com esse scrip e essa regra abaixo resolvi o problema de bloqueio com HTTPS e os IPs do facebook que mudam toda hora, e ainda posso liberar os IPs da diretoria.

Bloqueando o "https" do facebook via iptables no linux

Vamos ao bloqueio, vamos criar um arquivo onde você preferir e adicionar o seguinte código.
$ sudo vim /etc/init.d/bloqueio_facebook

E adicione o seguinte conteúdo:
##################################################################################################
#!/bin/bash
#Configuracao de bloqueio do facebook

#LIMPAR ARQUIVO facebook
echo "" > /etc/squid/facebook

#CAPTURAR IP DO FACEBOOK E JOGA NO ARQUIVO
host www.facebook.com >> /root/host_facebook

#EXPRESSÃO REGULAR PARA CAPTURAR SOMENTE OS IPS DO ARQUIVO
host_facebook E ADICIONAR NO ARQUIVO FACEBOOK
sed -n 's/$[0-9]\{1,3\}\.$\{3\}[0-9]\{1,3\}/\nip&\n/gp' /root/host_facebook | grep ip |
sed 's/ip//'| sort | uniq >> /etc/squid/facebook
##################################################################################################
Agora salve e saia do arquivo, e vamos aplicar permissão de execução nele.
$ sudo chmod -R 755 /etc/init.d/bloqueio_facebook

Como o IP do Facebook troca a todo momento, vamos adicionar no crontab um regra para ele fazer essa renovação a cada minuto.
$ sudo vim /etc/crontab
E adicione esta linha no final do arquivo:
* * * * * root /etc/init.d/bloqueio_facebook

Salve e saia, e reinicie o serviço do cron.
$ sudo /etc/init.d/cron restart

Agora e só testar, e se tudo estiver certo, o facebook já estará sendo bloqueado, se quiser adiantar o cadastro da lista dos ips do facebook, basta apenas ficar executando o arquivo direto, mais o cron já vai fazer de minuto a minuto.
 
Despois é só adicionar a regra abaixo no seu firewall:

##################################################################################################
#### REGRA DE BLOQUEIO DO FACEBOOK##########################
iptables -N FACEBOOK
iptables -I FORWARD -s $REDE -j FACEBOOK
for ip in `cat /etc/squid/facebook`;do
iptables -A FACEBOOK -d $ip -j REJECT
done
for LIVRE in `cat /etc/facebook`;do
iptables -I FORWARD -s $LIVRE -d $ip -j ACCEPT
done
#### REGRA DE BLOQUEIO DO FACEBOOK #########################
echo "REGRA DE BLOQUEIO DO FACEBOOK ATIVADA............................OK"
##################################################################################################

Bloqueio do https do Facebook

Responder tópico