Luego de bloquear Facebook por iptables y en el firewall Endian, ahora bloquearemos esta página en el proxy Squid.
Para ello necesitas crear un archivo de texto con las IP de FB, una por línea, que obtendremos del post de iptables y editar la configuración del proxy.
Crea un archivo en la carpeta /etc/squid/acl/facebook.acl con el siguiente contenido
50.76.50.112/28
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
66.92.180.48/28
66.199.37.136/29
66.220.144.0/20
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
173.252.64.0/18
204.15.20.0/22
Luego en el archivo squid.conf
acl facebook dst “/etc/squid/acl/facebook.acl”
Y en la sección de los http_access agregar como primera regla
http_access deny facebook
Finalmente reinicia el proxy o recarga la configuración con el comando “squid –k reconfigure” e intenta entrar a FB. Debería aparecer una página de Acceso Denegado.
Si cambias el nombre o ubicación debes actualizarlos también en el archivo squid.conf.
Siguiente post: Bloquear Facebook en firewall pfSense.
Actualizado 28/05/2013, agregado segmento 50.76.50.112/28
WordPress dispone de un editor para ver y modificar los archivos de los plugins y temas online. Este editor sólo trabaja para plugins y temas, si intentas editar otro archivo arrojará un error de acceso denegado.
Por motivos de seguridad se puede deshabilitar el editor de cualquiera de estas dos formas:
- Quitarle el permiso de escritura a los archivos, de esta forma se podrá ver el código fuente pero no se podrá modificar. En lugar del botón para guardar los cambios habrá una indicación de que faltan permisos de escritura.
Para usar este método se debe entrar por cliente FTP o por cPanel y quitar los permisos de escritura (chmod)
Si no se guardan los cambios, cambiar los permisos vía cPanel
- Deshabilitar el editor completamente, de esta forma ni siquiera aparecerán en el menú las opciones de editar temas y editar plugins. Si se intenta acceder al editor directamente por la URL aparecerá un error de acceso denegado.
=> 
Para utilizar este método se debe editar el archivo wp-config.php y agregar la siguiente constante:
define(‘DISALLOW_FILE_EDIT’,true);
Bloquear un sitio es sencillo ya que basta crear una regla que descarte las conexiones a la IP del servidor de la página que se quiera bloquear ya que generalmente es una IP solamente, por ejemplo este sitio tiene sólo la IP 200.69.98.68
Pero Facebook al ser una página grande, tiene cientos o miles de IP’s que van adquiriendo por lo que son múltiples rangos, actualmente son los siguientes, los que se pueden obtener de algún WHOIS:
- 50.76.50.112/28
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
66.92.180.48/28
66.199.37.136/29
66.220.144.0/20
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
173.252.64.0/18
204.15.20.0/22
Para bloquearlos en Iptables debes poner estas reglas:
Solo forwarding
iptables -A FORWARD -d 50.76.50.112/28 -j REJECT
iptables -A FORWARD -d 65.201.208.24/29 -j REJECT
iptables -A FORWARD -d 65.204.104.128/28 -j REJECT
iptables -A FORWARD -d 66.93.78.176/29 -j REJECT
iptables -A FORWARD -d 66.92.180.48/28 -j REJECT
iptables -A FORWARD -d 67.200.105.48/30 -j REJECT
iptables -A FORWARD -d 69.63.176.0/20 -j REJECT
iptables -A FORWARD -d 69.171.224.0/19 -j REJECT
iptables -A FORWARD -d 74.119.76.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 66.220.144.0/20 -j REJECT
iptables -A FORWARD -d 173.252.64.0/18 -j REJECT
iptables -A FORWARD -d 66.199.37.136/29 -j REJECT
Solo salida (si quieres bloquear FB en tu equipo)
iptables -A OUTPUT -d 50.76.50.112/28 -j REJECT
iptables -A OUTPUT -d 65.201.208.24/29 -j REJECT
iptables -A OUTPUT -d 65.204.104.128/28 -j REJECT
iptables -A OUTPUT -d 66.93.78.176/29 -j REJECT
iptables -A OUTPUT -d 66.92.180.48/28 -j REJECT
iptables -A OUTPUT -d 67.200.105.48/30 -j REJECT
iptables -A OUTPUT -d 69.63.176.0/20 -j REJECT
iptables -A OUTPUT -d 69.171.224.0/19 -j REJECT
iptables -A OUTPUT -d 74.119.76.0/22 -j REJECT
iptables -A OUTPUT -d 204.15.20.0/22 -j REJECT
iptables -A OUTPUT -d 66.220.144.0/20 -j REJECT
iptables -A OUTPUT -d 173.252.64.0/18 -j REJECT
iptables -A OUTPUT -d 66.199.37.136/29 -j REJECT
Si quieres que la conexión sea descartada sin enviar un aviso ICMP de vuelta de error reemplaza el REJECT por DROP.
Actualizado 28/05/2013, agregado segmento 50.76.50.112/28
Los programas firmados digitalmente permiten demostrar el origen del mismo, ademas de que se puede detectar si ha sido modificado ya sea intencionalmente o si de descargo incorrectamente.
Para firmar necesitas tres cosas:
- Un certificado digital importado en el almacen de windows
- El programa signtool.exe que es el asistente para firmado
- Y el ejecutable a firmar
Signtool viene en el SDK de Windows y en el Visual Studio, pero si no tienes ninguno de esos dos programas no vas a descargar entre 400 MB y >1 GB para tener el ejecutable que pesa 74 KB asi que lo he subido a Dropbox.
Descargar signtool.exe
signtool.exe no requiere instalacion, solo debes descargarlo a cualquier carpeta. Para ejecutarlo debes crear un acceso directo o ejecutarlo desde la terminal ya que el asistente grafico requiere pasarle un parametro al signtool.
- Hace clic derecho y selecciona “Crear acceso directo”
- Sobre el acceso directo abre las propiedades y en la parte “Destino” agrega “signwizard” al final de la ruta como sale en la imagen
- Ahora ejecutalo, saldra la primera ventana
- Presiona siguiente, ahora debes seleccionar el programa a firmar
- Ahora debes elegir “Tipica”
- En esta ventana presiona “Seleccionar de almacen” y elige el certificado importado, se despliega el cuadro de certificados de Windows donde salen todos los certificados disponibles
- Ingresa una descripcion del programa y la URL del sitio web. Ambos campos son opcionales
- Si la clave privada esta con contraseña o confirmacion te la pedira
Ahora en las propiedades del ejecutable aparece la ficha Firmas digitales con la firma recien realizada y al poner propiedades salen los detalles
Enjoy!
Comentarios recientes