Bloquear Facebook desde el firewall Endian
Hace tiempo publiqué cómo bloquear Facebook por iptables, ahora que me lo solicitaron en el trabajo que bloqueara FB, lo hare a través del firewall Endian que es el que están usando.
- Primero debes entrar al panel por la dirección https://<ip puerta enlace>:10443 y logearte
- Ahora debes ir a Firewall –> Outgoing rules y crear una nueva regla
En Source debes seleccionar Network/IP, abajo ingresar la lista de las IP que tendrán bloqueado Facebook, una por línea, o puedes ingresar rangos CIDR, cada uno por línea. Luego en Destination también debes seleccionar Network/IP y abajo pegar la siguiente lista que es la misma del post de iptables:
50.76.50.112/28
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
66.92.180.48/28
66.199.37.136/29
66.220.144.0/20
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
173.252.64.0/18
204.15.20.0/22
(la 66.199.37.136/29 es nueva, gracias por avisar en los comentarios)
En Policy seleccionar REJECT o DENY, en Remark si quieres puedes escribir un comentario, en Position poner First, que el checkbox Enabled esté marcado y presionar en Create Rules.
Finalmente aplicar los cambios haciendo clic en Apply y el bloqueo está listo
Endian debe quedar así
Enjoy
Actualizado 28/05/2013, agregado segmento 50.76.50.112/28
Me encantaria saber, como hiciste, para averiguar esos rangos de ip, por que me estaba volviendo loco, y no podia saber esto exactamente, de echo lo hice y lo bloqueo perfecto. Pero me serviria saberlo para otras paginas.
Saludos!
Las empresas y paginas grandes tienen asignados grandes rangos de IP’s, esas asignaciones se pueden ver en el whois, como FB tiene varias tuve que revisar una por una, salen en formato CIDR asi que se pueden ingresar directamente. En esta pagina salen los bloqueos, el link es uno de los rangos que tiene FB, ahi puedes buscar por facebook para ver el resto u otra pagina: http://whois.arin.net/rest/net/NET-69-171-224-0-1.html
Perdoname que te insista, pero no entiendo muy bien el funcionamiento de esa pagina, me podrias dar un par de datos mas?
Y este bloqueo funciona para el https del face???
como el bloqueo es por IP, no por protocolo, quedan bloqueados todos los protocolos, incluyendo https, http, xmpp
Hola Alexis, no entiendo el funcionamiento de whois.arin.net, para poder descubrir los ip’s de windows update, hotmail y gmail por favor.
windows update y hotmail debes buscar por microsoft y gmail por google
Alexis, buenas tardes! por IE todo bien, ya no entra a facebook por https o http, pero lo estuve realizando por google chrome y si entra por https ¿me puedes orientar?
Gracias amigo por el tuto esta muy bueno, eso me da ideas para hacer bloqueos por reglas lo he probado y funciona, eso de los CIDR esta medio revoltoso pero ya le entendi, me imagino q se puede hacer el mismo tipo de bloqueo para el messenger, o para el ultrasurf, gracias amigo de verdad q veo el panorama diferente 🙂
salu2
Messenger es posible hacer bloqueos, en su momento lo pude hacer con IP y en el squid, en algún momento me animo y lo documento en otro post.
Lo del ultrasurf es muy dificil bloquearlo ya que está hecho para evadir los bloqueos, si está concebido para que los Chinos puedan saltarse el firewall que les bloquea las páginas. Hace conexiones en distintos puertos, hace pruebas a Google, sale por los puertos conocidos, obtiene IP’s a través de registros CNAME en ciertos dominios, etc….
http://www.chw.net/foro/internet-y-redes-f24/871899-bloquear-ultrasurf.html
si amigo lo del messenger habria que bloquear el gateway y un par de sitios a donde se loguea el messenger, en cuanto al ultrasurf tuve que bloquear todo el trafico al 443 a excepcion de bancos y demas cosas tuve que crear una lista blanca fue la unica manera que encontre de bloquear el bendito programa XD, por cierto yo uso pfSense, excelente web amigo Felicidades! en hora buena
salu2
hola alexis muy buen aporte, mi consulta es que yo recien tengo instalado el endian firewall 2.4.1 y quisiera tener una guia o una manual para poder implementar su configuracion, te agradeceria mucho tu ayuda
saludos
por cierto agregaron esta nueva : 66.199.37.136/29
Gracias por el aviso, agregué el rango nuevo en el post y en el de iptables
esta muy bien el Manuel, muchas gracias, pero no me funciona para el face con HTTPS, Espero me puedas apoyar, muchas gracias.
saludos!
Hector necesitas decirle que el puerto destino sea el 443 (https) o a cualquier puerto de esas ips 😀
Agregado nuevo rango de IP
Las instrucciones de este post apuntan a bloquear los rangos de IP de FB, lo que bloquea todo el trafico por lo que no pueden conectarse por ningún protocolo, incluido HTTPS.
Si usan squid, ese sólo bloquea HTTP por lo que deben complementarlo con el bloqueo de IP descrito aqui.
oye necesito bloquear youtube….como hago????
EJ los rangos de youtube son estos:
208.65.152.0/22
64.15.112.0/20
208.117.224.0/19
aunque segun arin.net hay mas de youtube pero estan como combinados con los de google, me imagino por que pertenece a google, el detalle es que si bloqueas los otros te quedaras sin gmail tambien :S
salu2
Buenas, en hora buena por este blog Alexis, estoy por revisar lo que indicas aqui pero quisiera hacerte unas preguntas:
– tengo instalado el endian version 2.4.1
– cuando le doy en actualizar sea en politicas de acceso o contenfilter, muestra este mensaje «las configuraciones del proxy estan siendo aplicadas, por favor esper»… tranquilamente puede quedar 1 hora y sigue, tengo que presionar F5 y rapidamente seleccionar algun opcion pues de lo contrario continua, un favor que version usas??
– y esto de bloquear el faceb por https por IPs nose podria hacer por los contenfilter osea colocando la URL en los sitios a bloquear, hay un modo pues lo he colocado y nada.
– son varias las paginas que salen por https, gmail, FB, yahoo mail, entre otros de ocio y que en la empresa pues hay que bloquearla.
a ver si nos das algunas opciones..
saludos y en hora buena por el blog
1) Lo de las configuraciones del proxy es un bug que también me pasa, tengo que cambiar de página para poder seguir en el panel. Uso la última versión.
2) Lo de bloquear por IP es lo más efectivo ya que afecta a todos los servicios, aunque si tienes el proxy activado el bloqueo no afecta, se deben incorporar las reglas en la configuración del proxy lo que publicaré pronto.
3) Aquí describí el bloqueo de FB, en el caso de gmail, yahoo también tienen grandes rangos de IP lo que conseguidos se bloquean igual que FB. Si son páginas simples (como esta xD) que tienen sólo una IP es fácil de conseguir, con el comando host se pueden conseguir las IP’s
q onda karnal io encontre otras ip’s
espero que les puedan servir
69.171.228.11
69.171.229.13
69.171.228.46
69.63.184.142
69.63.187.17
69.63.187.19
Se agradece, aunque esas IP’s están contenidas en los rangos del post, por lo que ya están bloqueadas. Los rangos son 69.171.224.0/19 y 69.63.176.0/20.
Excelente aporte, ha favoritos, una pregunta no tiene bloqueo por tags ejem para el contenido adulto, alojamiento de archivos, etc??
Saludos Alexis.
Estoy realizando la configuración que indicas, pero no me funciona con el Endian 2.4.1 en una Máquina virtual que correo Oracle Virtual Box. No me bloquea el facebook con https: pero si me bloquea con Content filter. Si me podrias dar una mano.
Gracias por tu atención.
Hola Alexis, no entiendo como consigieron todos esos ip´s, porq en la pagina arin,net, pongo «FB» y solo me sale una direccion ip, el cual puedocopiar y pegar con el CIDR, incluido, pero.
Podrias especificar a modo de ejemplo, como consegiste o consegir la lista de numeros para FB, por favor.
Deseo hacerlo para, yahoo, gmail, y youtube, por favor, porq me paran salatando con solo agregar la «s» despues del «http», cosa q ya no les sucede con el FB.
Jeje.
Gracias.