CentOS-6 ¿Cómo bloquear FaceBook con iptables?

Imagen de Epe

Probado en CentOS-5 y CentOS-6 con tal de que la distro tenga un módulo de iptables llamado "string" esto funcionará

me lo pidió un amigo hoy y realmente no lo tenía previsto.

La idea es que sí, en el squid puedes bloquear de una u otra forma el sitio facebook.com (url_regex, dansguardian, etc), sin embargo los usuarios han descubrierto que si ponen https, no les bloquea el facebook.

Por qué ocurre esto? porque el proxy transparente que es lo que normalmente usas para que los usuarios sean forzados a pasar por el squid, solamente atiende el puerto 80, y no otros puertos, por ejemplo el 443.. y pum, se te escapan descaradamente.

Hoy buscando en google, y rebuscando, al final encontré el tema, cómo le solucioné?


iptables -I FORWARD -p tcp --dport 443 -m string --string 'facebook' --algo bm -j DROP

y listo, intenta ahora navegar a facebook usando https:// para que veas. El http lo manejo desde el squid.

Si tuvieras un usuario (192.168.1.123) que TENGA que usar facebook, pones debajo:

iptables -I FORWARD -s 192.168.1.123 -p tcp --dport 443 -m string --string 'facebook' --algo bm -j ACCEPT

Si quieres le controlas también el puerto 80... pero no sé, prefiero el squid para eso, quizá son viejuconadas o quizá me da pereza poner dos puertos en una línea de iptables

Comentarios

En windows no hay como

Eso de bloquear por rangos de ip, no me gusta mucho... Lo de String me encantó, el problema es que cuando implementé la regla, sirvió, pero solo para mi maquina en la que uso linux, pero el resto de maquinas de la red que usan windows no sirve, ¿que podrá ser?

no tiene nada q ver el SO q

Imagen de falcom

no tiene nada q ver el SO q tengas en los clientes, siempre y cuando tengas como gw la ip del server donde corre tu proxy...
lo que comprobe en es q en centos 5x no corren esas lineas sino otras, para centos 6x esta ok

Me lo imaginaba

Gracias por tu respuesta, se que mi pregunta casi no tenia logica pero era lo que estaba pasando en mi red.

Tengo Centos 5.9 Final,
sera esa la explicación, no quiero cambiarme a 6 porque he tenido muchos problemas con las distros 6x

En fin alguna idea, de la solucion para 5x?

claro en centos 5x tambien

Imagen de falcom

claro en centos 5x tambien hay alternativas una es:
FACEBOOK_ALLOW=`cat /home/ruta/facebookusers.conf`
iptables -N FACEBOOK

iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 204.74.64.0-204.74.127.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 69.171.224.0-69.171.255.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.254 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 173.252.64.1-173.252.127.254 --dport 443 -j FACEBOOK
iptables -I FORWARD -p tcp -m iprange --dst-range 31.0.0.1-31.255.255.254 --dport 443 -j FACEBOOK

for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT

la otra es compilar tu kernel con L7 y bingo asunto solucionado

Gracias

despues de tanto buscar y buscar encontre la solucion muchas gracias pero ahora me encontre con otro problema que es un programa llamado ultrasurf con que los usuarios de la red se saltan el flitro del Firewall y consumen el canal de forma descarada si alguien sabe como bloquear este programa o informacion al respecto seria de mucha ayuda saludos..

Busca en el foro, creo que

Imagen de deathUser

Busca en el foro, creo que falcom publicó una entrada sobre el tema, lo más fácil para ese tipo de cosas es, no enmascarar (natear) el tráfico y obligar a los usuarios a usar el proxy para navegar, si es con proxy no transparente mucho mejor, con eso deberías tener control total sobre el tráfico que va hacia internet desde tu proxy ...

bye
;)

Páginas