Como bloquear Facebook por IP con iptables
Bloquear un sitio es sencillo ya que basta crear una regla que descarte las conexiones a la IP del servidor de la página que se quiera bloquear ya que generalmente es una IP solamente, por ejemplo este sitio tiene sólo la IP 200.69.98.68
Pero Facebook al ser una página grande, tiene cientos o miles de IP’s que van adquiriendo por lo que son múltiples rangos, actualmente son los siguientes, los que se pueden obtener de algún WHOIS:
- 50.76.50.112/28
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
66.92.180.48/28
66.199.37.136/29
66.220.144.0/20
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
173.252.64.0/18
204.15.20.0/22
Para bloquearlos en Iptables debes poner estas reglas:
Solo forwarding
iptables -A FORWARD -d 50.76.50.112/28 -j REJECT
iptables -A FORWARD -d 65.201.208.24/29 -j REJECT
iptables -A FORWARD -d 65.204.104.128/28 -j REJECT
iptables -A FORWARD -d 66.93.78.176/29 -j REJECT
iptables -A FORWARD -d 66.92.180.48/28 -j REJECT
iptables -A FORWARD -d 67.200.105.48/30 -j REJECT
iptables -A FORWARD -d 69.63.176.0/20 -j REJECT
iptables -A FORWARD -d 69.171.224.0/19 -j REJECT
iptables -A FORWARD -d 74.119.76.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 66.220.144.0/20 -j REJECT
iptables -A FORWARD -d 173.252.64.0/18 -j REJECT
iptables -A FORWARD -d 66.199.37.136/29 -j REJECT
Solo salida (si quieres bloquear FB en tu equipo)
iptables -A OUTPUT -d 50.76.50.112/28 -j REJECT
iptables -A OUTPUT -d 65.201.208.24/29 -j REJECT
iptables -A OUTPUT -d 65.204.104.128/28 -j REJECT
iptables -A OUTPUT -d 66.93.78.176/29 -j REJECT
iptables -A OUTPUT -d 66.92.180.48/28 -j REJECT
iptables -A OUTPUT -d 67.200.105.48/30 -j REJECT
iptables -A OUTPUT -d 69.63.176.0/20 -j REJECT
iptables -A OUTPUT -d 69.171.224.0/19 -j REJECT
iptables -A OUTPUT -d 74.119.76.0/22 -j REJECT
iptables -A OUTPUT -d 204.15.20.0/22 -j REJECT
iptables -A OUTPUT -d 66.220.144.0/20 -j REJECT
iptables -A OUTPUT -d 173.252.64.0/18 -j REJECT
iptables -A OUTPUT -d 66.199.37.136/29 -j REJECT
Si quieres que la conexión sea descartada sin enviar un aviso ICMP de vuelta de error reemplaza el REJECT por DROP.
Actualizado 28/05/2013, agregado segmento 50.76.50.112/28
Felicitaciones Alexis por tu aporte…
estas iptables pueden ser usadas en DD-WRT? si es así, como puedo bloquear solo un rango de ip’s. Por ejemplo, desde la 192.168.0.20 hasta la 192.168.0.50.
Gracias de ante mano.
En DD-WRT se debe entrar por ssh e ingresar los mismos comandos de iptables, para bloquear solo por origen debes agregar el parametro -s y el rango a bloquear
iptables -A OUTPUT -s 192.168.0.0/24 -d 204.15.20.0/22 -j REJECT
segun lei en el foro de ddwrt el comando iptables que viene solo permite rangos cidr, para bloquear por rango (30-50) se deben poner una regla por IP x.x
excelente aportacion, tengo squid en mi servidor pero no me bloqueaba las paginas https en el caso de facebook y con esto lo arregle gracias 😀
Como le hizo Arturo para bloquear las páginas https¿?
Regalame el dato porfa 🙂
Hola, si alguien sabe como bloquear el puerto 80 (internet) solo para los puertos ethernet, y dejar la Wifi sin restriccion, el comando de iptables -i vlan0 no me funciona, da acceso completo apenasse lo agreso a la linea, sin el (-i vlan0 si bloquea bien pero lo necesito solo en la ethernet.
Gracias
Steven, para bloquear las paginas https, solo bloqueas el puero 443.
saludos
Estas reglas bloquean todo el tráfico hacia esos rangos IP, lo que incluyen el tráfico HTTP, HTTPS, el chat, etc.
Para bloquear solo ciertos equipos debes agregar «-s» (source), por interfaz no recuerdo cuál es el parámetro, tendrías que ver la documentación del iptables.
DD-WRT parece que no acepta rangos de IP, habrá que poner las IP de a una x.x
He agregado un nuevo rango que adquirieron al listado, gracias por avisar. (el aviso lo hicieron en el post de como bloquear FB en el FW endian)
Aqui les muestro otra forma de bloquear este tipo de sitio usando Proxy Firewall y cortafuego Shorewall ..
Como bloquear los sitios seguros facebook, imo y meebo con Squid Proxy y Shorewall
http://www.koalasoftmx.tk/staticpages/index.php/bloquear-facebook-meebo-imo-443-https
oye alexis he leido varios articulos tuyo y estan muy interesantes tengo un endian instalado y necesito bloquear http://www.youtube.com imagino tambien utiliza varios rangos de ip como lo hace el facebook por que mas ke trato de investigarlo no los encuentro podrias darme una pista te lo agradeceria
Vaya! hasta que encuentro algo que funcione ( por lo menos tu si le atinaste a los rangos importantes de FB).
Buen aporte.