Como Bloquear o Facebook (HTTPS, Skype e Outlook.com) e liberar para alguns IPs?

masierovinicius
(usa CentOS)

Enviado em 31/01/2013 - 15:22h

Olá!

Como todos devemos saber, o bloqueio do facebook está ficando cada vez mais essencial para o bom funcionamento do ambiente de TI de uma empresa.

O grande problema, é que agora, com o advento do skype substituir o msn, não adianta mais bloquear somente o facebook via proxy, pela porta 80 (http), pois os usuarios estão conseguindo acessar via https e por aplicativos como skype e o site outlook.com.

Fiz diversos testes de bloqueio via IPtables e realmente consegui bloquear. O problema é que não consigo, de jeito nenhum, fazer a liberação para um certo range de ips, ou ips especificos.

resumindo: Ou o facebook fica bloqueado para todos, ou liberado para todos.

Já li diversos tópicos sobre o assunto, inclusive aqui no Viva o Linux. Fiz os procedimentos, mas nenhum funcionou...

Agradeço desde já as respostas e espero que alguem tenha a solução pra esse problema!

Abraços!

renato_pacheco
(usa Debian)

Enviado em 31/01/2013 - 15:35h

Se é via iptables, é possível vc bloquear em uma faixa d IPs mencionada. Vc pode fazer dessa forma, seguindo o exemplo:

for i in `cat /etc/lista_IP.txt`

do

iptables -A FORWARD -d facebook.com -s $i -j DROP

iptables -A FORWARD -d outlook.com -s $i -j DROP

...

done

 

É claro q os sites podem não ser iguais ao seu bloqueio, mas é só como exemplo msm. No arquivo mencionado (lista_IP.txt), vc põe os IPs linha a linha.

masierovinicius
(usa CentOS)

Enviado em 31/01/2013 - 15:42h

Beleza!

no seu exemplo, você bloqueia o site facebook.com. Infelizmente, este método não funciona, pois o facebook muda o endereço. Já testei. Ele demora a carregar, mas acha outro endereço e conecta igual.

O script realmente é interessante, por podermos colocar mais Ips. O grande problema é que eu ja fiz regras de bloqueio que funcionaram. Mas o problema foi DESBLOQUEAR para ips específicos... Usei essa mesma regra, com ACCEPT, mas ele libera para alguns e outros não...

renato_pacheco
(usa Debian)

Enviado em 31/01/2013 - 15:47h

Então manda suas regras q eu adapto pra vc.

masierovinicius
(usa CentOS)

Enviado em 31/01/2013 - 15:58h

Cara, tentei usar aquele esquema de juntar varios ips naquele arquivo, mas o iptables acusa /etc/arquivo.txt como bad argument... qual o procedimento correto para fazer isso funcionar?

renato_pacheco
(usa Debian)

Enviado em 31/01/2013 - 16:17h

Depende como vc tá inserindo as regras: é através d script? Se for, algo d errado vc fez.

masierovinicius
(usa CentOS)

Enviado em 31/01/2013 - 16:42h

Consegui resolver! Obrigado Renato! Abraço

tiagoferla
(usa Slackware)

Enviado em 31/01/2013 - 20:56h

como vc conseguiu resolver?

posta ai pra gente, tb estou precisando?

andrecanhadas
(usa Debian)

Enviado em 31/01/2013 - 21:42h

Da uma olhada nos comentários:
http://www.vivaolinux.com.br/dica/Bloquear-Facebook-e-Youtube-por-HTTPS/

Outro:
http://www.vivaolinux.com.br/topico/Squid-Iptables/Liberar-facebook-apenas-para-o-chefe-(com-faceboo...

masierovinicius
(usa CentOS)

Enviado em 01/02/2013 - 08:34h

Fiz assim:

#BLOQUEAR ENDERECOS DO FACEBOOK
iptables -A INPUT -m string --algo bm --string "facebook.com" -m iprange --src-range 192.168.254.90-192.16
iptables -A OUTPUT -m string --algo bm --string "facebook.com" -m iprange --src-range 192.168.254.90-192.
iptables -A FORWARD -m string --algo bm --string "facebook.com" -m iprange --src-range 192.168.254.90-192
#

Por essa regra, ele bloqueia todos os pacotes que contem "facebook.com" para aquele range de IP. O firewall vai perder um pouco do rendimento, mas funciona.

até mais!

saitam
(usa Slackware)

Enviado em 01/02/2013 - 08:47h

coloca a regra abaixo no seu script firewall que resolve o problema. Bloqueia geral.

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

filipemk
(usa CentOS)

Enviado em 01/02/2013 - 08:59h

#>>>>>>>>>>>>>>>>>>>>>> Bloqueia facebook <<<<<<<<<<<<<<<<<<<<<<
#CHAT DO SKYPE COM FACEBOOK
iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.254.90-192.168.254.169 --dport 5222 -j DROP
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.254.90-192.168.254.169 --dport 5222 -j DROP
iptables -A INPUT -p tcp -m iprange --src-range 192.168.254.90-192.168.254.169 --dport 5222 -j DROP

#POSTAR NO PERFIL DO FACEBOOK VIA SKYPE
#-PORTAS
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.254.90-192.168.254.169 --dport 52000:58091 -j DROP
iptables -A OUTPUT -p tcp -m iprange --src-range 192.168.254.90-192.168.254.169 --dport 52000:58091 -j DROP
iptables -A INPUT -p tcp -m iprange --src-range 192.168.254.90-192.168.254.169 --dport 52000:58091 -j DROP
#-IPS
iptables -A FORWARD -m iprange --src-range 192.168.254.90-192.168.254.169 -d 173.252.100.27 -j DROP
iptables -A OUTPUT -m iprange --src-range 192.168.254.90-192.168.254.169 -d 173.252.100.27 -j DROP
iptables -A INPUT -m iprange --src-range 192.168.254.90-192.168.254.169 -d 173.252.100.27 -j DROP
iptables -A FORWARD -m iprange --src-range 192.168.254.90-192.168.254.169 -d 65.55.223.12 -j DROP
iptables -A OUTPUT -m iprange --src-range 192.168.254.90-192.168.254.169 -d 65.55.223.12 -j DROP
iptables -A INPUT -m iprange --src-range 192.168.254.90-192.168.254.169 -d 65.55.223.12 -j DROP

#BLOQUEAR ENDERECOS DO FACEBOOK
iptables -A INPUT -m string --algo bm --string "facebook.com" -m iprange --src-range 192.168.254.90-192.168.254.169 -j DROP
iptables -A OUTPUT -m string --algo bm --string "facebook.com" -m iprange --src-range 192.168.254.90-192.168.254.169 -j DROP
iptables -A FORWARD -m string --algo bm --string "facebook.com" -m iprange --src-range 192.168.254.90-192.168.254.169 -j DROP



No caso usamos src range.. para delimitar quem terá acesso e quem não terá..
Se alguém quiser adicionar outras funções, ou melhorar.. a vontade.
Abraço