Inicio > Internet y redes > Bloquear Facebook desde el firewall Endian

Bloquear Facebook desde el firewall Endian

sábado, 27 de agosto de 2011

Hace tiempo publiqué cómo bloquear Facebook por iptables, ahora que me lo solicitaron en el trabajo que bloqueara FB, lo hare a través del firewall Endian que es el que están usando.

  • Primero debes entrar al panel por la dirección https://<ip puerta enlace>:10443 y logearte
  • Ahora debes ir a Firewall –> Outgoing rules y crear una nueva regla

image

En Source debes seleccionar Network/IP, abajo ingresar la lista de las IP que tendrán bloqueado Facebook, una por línea, o puedes ingresar rangos CIDR, cada uno por línea. Luego en Destination también debes seleccionar Network/IP y abajo pegar la siguiente lista que es la misma del post de iptables:

50.76.50.112/28
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
66.92.180.48/28
66.199.37.136/29
66.220.144.0/20
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
173.252.64.0/18
204.15.20.0/22

(la 66.199.37.136/29 es nueva, gracias por avisar en los comentarios)

En Policy seleccionar REJECT o DENY, en Remark si quieres puedes escribir un comentario, en Position poner First, que el checkbox Enabled esté marcado y presionar en Create Rules.

Finalmente aplicar los cambios haciendo clic en Apply y el bloqueo está listo

image

Endian debe quedar así

image

Enjoy

Actualizado 28/05/2013, agregado segmento 50.76.50.112/28

  1. Ezequiel
    jueves, 1 de septiembre de 2011 a las 12:38 | #1

    Me encantaria saber, como hiciste, para averiguar esos rangos de ip, por que me estaba volviendo loco, y no podia saber esto exactamente, de echo lo hice y lo bloqueo perfecto. Pero me serviria saberlo para otras paginas.

    Saludos!

    • Alexis Abarca
      jueves, 1 de septiembre de 2011 a las 18:07 | #2

      Las empresas y paginas grandes tienen asignados grandes rangos de IP’s, esas asignaciones se pueden ver en el whois, como FB tiene varias tuve que revisar una por una, salen en formato CIDR asi que se pueden ingresar directamente. En esta pagina salen los bloqueos, el link es uno de los rangos que tiene FB, ahi puedes buscar por facebook para ver el resto u otra pagina: http://whois.arin.net/rest/net/NET-69-171-224-0-1.html

      • Ezequiel
        viernes, 2 de septiembre de 2011 a las 10:14 | #3

        Perdoname que te insista, pero no entiendo muy bien el funcionamiento de esa pagina, me podrias dar un par de datos mas?

  2. Jaime
    jueves, 15 de septiembre de 2011 a las 11:42 | #4

    Y este bloqueo funciona para el https del face???

    • Alexis Abarca
      jueves, 15 de septiembre de 2011 a las 20:40 | #5

      como el bloqueo es por IP, no por protocolo, quedan bloqueados todos los protocolos, incluyendo https, http, xmpp

  3. Mustang
    viernes, 30 de septiembre de 2011 a las 13:45 | #6

    Hola Alexis, no entiendo el funcionamiento de whois.arin.net, para poder descubrir los ip’s de windows update, hotmail y gmail por favor.

    • Alexis Abarca
      domingo, 2 de octubre de 2011 a las 22:11 | #7

      windows update y hotmail debes buscar por microsoft y gmail por google

  4. Carlos
    jueves, 3 de noviembre de 2011 a las 16:00 | #8

    Alexis, buenas tardes! por IE todo bien, ya no entra a facebook por https o http, pero lo estuve realizando por google chrome y si entra por https ¿me puedes orientar?

  5. erny
    lunes, 14 de noviembre de 2011 a las 20:15 | #9

    Gracias amigo por el tuto esta muy bueno, eso me da ideas para hacer bloqueos por reglas lo he probado y funciona, eso de los CIDR esta medio revoltoso pero ya le entendi, me imagino q se puede hacer el mismo tipo de bloqueo para el messenger, o para el ultrasurf, gracias amigo de verdad q veo el panorama diferente 🙂

    salu2

    • Alexis Abarca
      martes, 29 de noviembre de 2011 a las 23:14 | #10

      Messenger es posible hacer bloqueos, en su momento lo pude hacer con IP y en el squid, en algún momento me animo y lo documento en otro post.

      Lo del ultrasurf es muy dificil bloquearlo ya que está hecho para evadir los bloqueos, si está concebido para que los Chinos puedan saltarse el firewall que les bloquea las páginas. Hace conexiones en distintos puertos, hace pruebas a Google, sale por los puertos conocidos, obtiene IP’s a través de registros CNAME en ciertos dominios, etc….

      http://www.chw.net/foro/internet-y-redes-f24/871899-bloquear-ultrasurf.html

      • erny
        martes, 13 de diciembre de 2011 a las 14:00 | #11

        si amigo lo del messenger habria que bloquear el gateway y un par de sitios a donde se loguea el messenger, en cuanto al ultrasurf tuve que bloquear todo el trafico al 443 a excepcion de bancos y demas cosas tuve que crear una lista blanca fue la unica manera que encontre de bloquear el bendito programa XD, por cierto yo uso pfSense, excelente web amigo Felicidades! en hora buena

        salu2

  6. erika_03
    martes, 15 de noviembre de 2011 a las 12:07 | #12

    hola alexis muy buen aporte, mi consulta es que yo recien tengo instalado el endian firewall 2.4.1 y quisiera tener una guia o una manual para poder implementar su configuracion, te agradeceria mucho tu ayuda
    saludos

  7. erny
    miércoles, 16 de noviembre de 2011 a las 14:05 | #13

    por cierto agregaron esta nueva : 66.199.37.136/29

    • Alexis Abarca
      martes, 29 de noviembre de 2011 a las 23:10 | #14

      Gracias por el aviso, agregué el rango nuevo en el post y en el de iptables

  8. Hector
    viernes, 18 de noviembre de 2011 a las 15:17 | #15

    esta muy bien el Manuel, muchas gracias, pero no me funciona para el face con HTTPS, Espero me puedas apoyar, muchas gracias.
    saludos!

    • erny
      lunes, 28 de noviembre de 2011 a las 12:33 | #16

      Hector necesitas decirle que el puerto destino sea el 443 (https) o a cualquier puerto de esas ips 😀

  9. Alexis Abarca
    martes, 29 de noviembre de 2011 a las 23:16 | #17

    Agregado nuevo rango de IP

    Las instrucciones de este post apuntan a bloquear los rangos de IP de FB, lo que bloquea todo el trafico por lo que no pueden conectarse por ningún protocolo, incluido HTTPS.

    Si usan squid, ese sólo bloquea HTTP por lo que deben complementarlo con el bloqueo de IP descrito aqui.

  10. EJ
    miércoles, 30 de noviembre de 2011 a las 11:06 | #18

    oye necesito bloquear youtube….como hago????

    • erny
      martes, 13 de diciembre de 2011 a las 14:13 | #19

      EJ los rangos de youtube son estos:

      208.65.152.0/22
      64.15.112.0/20
      208.117.224.0/19

      aunque segun arin.net hay mas de youtube pero estan como combinados con los de google, me imagino por que pertenece a google, el detalle es que si bloqueas los otros te quedaras sin gmail tambien :S

      salu2

  11. Cesvil
    sábado, 28 de enero de 2012 a las 21:20 | #20

    Buenas, en hora buena por este blog Alexis, estoy por revisar lo que indicas aqui pero quisiera hacerte unas preguntas:
    – tengo instalado el endian version 2.4.1
    – cuando le doy en actualizar sea en politicas de acceso o contenfilter, muestra este mensaje «las configuraciones del proxy estan siendo aplicadas, por favor esper»… tranquilamente puede quedar 1 hora y sigue, tengo que presionar F5 y rapidamente seleccionar algun opcion pues de lo contrario continua, un favor que version usas??
    – y esto de bloquear el faceb por https por IPs nose podria hacer por los contenfilter osea colocando la URL en los sitios a bloquear, hay un modo pues lo he colocado y nada.
    – son varias las paginas que salen por https, gmail, FB, yahoo mail, entre otros de ocio y que en la empresa pues hay que bloquearla.

    a ver si nos das algunas opciones..
    saludos y en hora buena por el blog

    • Alexis Abarca
      miércoles, 1 de febrero de 2012 a las 20:55 | #21

      1) Lo de las configuraciones del proxy es un bug que también me pasa, tengo que cambiar de página para poder seguir en el panel. Uso la última versión.
      2) Lo de bloquear por IP es lo más efectivo ya que afecta a todos los servicios, aunque si tienes el proxy activado el bloqueo no afecta, se deben incorporar las reglas en la configuración del proxy lo que publicaré pronto.
      3) Aquí describí el bloqueo de FB, en el caso de gmail, yahoo también tienen grandes rangos de IP lo que conseguidos se bloquean igual que FB. Si son páginas simples (como esta xD) que tienen sólo una IP es fácil de conseguir, con el comando host se pueden conseguir las IP’s

  12. mayin800
    martes, 31 de enero de 2012 a las 12:18 | #22

    q onda karnal io encontre otras ip’s
    espero que les puedan servir
    69.171.228.11
    69.171.229.13
    69.171.228.46
    69.63.184.142
    69.63.187.17
    69.63.187.19

    • Alexis Abarca
      miércoles, 1 de febrero de 2012 a las 22:11 | #23

      Se agradece, aunque esas IP’s están contenidas en los rangos del post, por lo que ya están bloqueadas. Los rangos son 69.171.224.0/19 y 69.63.176.0/20.

  13. Alexis Albarrán
    martes, 7 de febrero de 2012 a las 00:04 | #24

    Excelente aporte, ha favoritos, una pregunta no tiene bloqueo por tags ejem para el contenido adulto, alojamiento de archivos, etc??

  14. Santiago Nunez
    jueves, 9 de febrero de 2012 a las 12:48 | #25

    Saludos Alexis.

    Estoy realizando la configuración que indicas, pero no me funciona con el Endian 2.4.1 en una Máquina virtual que correo Oracle Virtual Box. No me bloquea el facebook con https: pero si me bloquea con Content filter. Si me podrias dar una mano.

    Gracias por tu atención.

  15. Kasper
    jueves, 9 de febrero de 2012 a las 13:21 | #26

    Hola Alexis, no entiendo como consigieron todos esos ip´s, porq en la pagina arin,net, pongo «FB» y solo me sale una direccion ip, el cual puedocopiar y pegar con el CIDR, incluido, pero.

    Podrias especificar a modo de ejemplo, como consegiste o consegir la lista de numeros para FB, por favor.

    Deseo hacerlo para, yahoo, gmail, y youtube, por favor, porq me paran salatando con solo agregar la «s» despues del «http», cosa q ya no les sucede con el FB.

    Jeje.

    Gracias.

Comentarios cerrados.