Bloqueando acesso HTTPS ao Facebook

felipeassuncaoj
(usa Debian)

Enviado em 02/12/2011 - 18:40h

Uso proxy transparente e consegui usando somente esta solução:

iptables -I FORWARD -s 192.168.0.0/24 -p tcp --dport 443-j DROP

ele bloqueia qualquer encaminhamento para a 443, https do face, orkut... ULTRASURF... incluvive e-mails e site de bancos...

ai tu vai liberando so o que o pessoal realmente precisa.

iptables -I FORWARD -s 192.168.0.0/24 -p tcp -d mail.google.com --dport 443 -j ACCEPT



PAZ

leandrogar
(usa Debian)

Enviado em 01/08/2012 - 18:51h

Sei que o tópico é antigo, mas para que interessar segue regra para bloqueio do facebook através do iptables:

face_allow="192.168.0.1 192.168.0.2" #(exemplo.aqui ips que podem acessar)
/sbin/iptables -N facebook #(Cria a chain facebook)
/sbin/iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j facebook
/sbin/iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j facebook
/sbin/iptables -I FORWARD -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j facebook
/sbin/iptables -I FORWARD -p tcp -m iprange --dst-range 204.74.64.0-204.74.127.255 --dport 443 -j facebook
/sbin/iptables -I FORWARD -p tcp -m iprange --dst-range 69.171.224.0-69.171.255.255 --dport 443 -j facebook #(essas linhas estão bloqueando o range de ip do facebook para a chain facebook, que são muitos)

# libera para ips especificos
for face in $face_allow; do
/sbin/iptables -I facebook -s $face -j ACCEPT #(regra para liberar ips específicos)
done
/sbin/iptables -A facebook -j REJECT #(Regra para rejeitar toda a chain facebook, menos para ips liberados).

Espero que seja útil.

Abraços

maxwbr
(usa Manjaro Linux)

Enviado em 26/07/2013 - 11:36h

Caro amigo Lenadro, testei as regras acima q vc postou mas não deu certo :/

Vc tem essa regra funcionando?

wagner7br
(usa Suse)

Enviado em 27/07/2013 - 18:03h

Então...
Para quem usa proxy transparente há mesmo uma certa dificuldades para barrar as redes sociais acessadas via https para alguns usuários

Pois o Https é uma porta segura.

Então, faça o seguinte:

1- ative o modulo ipt_string
modprobe ipt_string

Agora adicionar as regras no seu firewall:
iptables -I FORWARD -s 192.168.0.xx -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -s 192.168.0.xx -m string --algo bm --string "youtube.com" -j DROP
iptables -I OUTPUT -s 192.168.0.xx -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -s 192.168.0.xx -m string --algo bm --string "youtube.com" -j DROP

Pronto já esta ok.

Se deu certo post aqui blz.

lsmota
(usa Debian)

Enviado em 08/08/2013 - 11:28h

Era o que eu precisava muito bom comigo funcionou de boa fiz um script para bloquear determinada faixa de ip

cadriza
(usa Ubuntu)

Enviado em 08/08/2013 - 11:52h

Legal, tb me serviu...

Mas seria possível bloquear TODOS e liberar só alguns IPs dessa forma?

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 14:54h

E o troféu Pá de Ouro por escavação de tópicos antigos desta vez vai para...

http://www.evoo.com.br/forum/files/pa_de_ouro_923_149.jpg

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 15:33h

Primeiro bloqueia toda a rede pelo endereço de rede:
iptables -I FORWARD -s 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP

Depois libera os IPs que você quer:
iptables -I FORWARD -s 192.168.0.xx -m string --algo bm --string "facebook.com" -j ACCEPT

Lembrando que com -I a regra é inserida no topo da chain, ou seja, fica em primeiro, por isso o bloqueio deve vir antes.

Você pode também enumerar as regras para evitar problemas de ordem de colocação:

iptables -I FORWARD 1 -s 192.168.0.xx -m string --algo bm --string "facebook.com" -j ACCEPT
iptables -I FORWARD 2 -s 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP

Com a enumeração, a regra de bloqueio deve ser a última, mas daí TODAS as regras criadas com -I devem entrar na numeração, senão você irá se perder na ordem.

adonisdrummer
(usa Debian)

Enviado em 08/08/2013 - 15:43h

Amigo, estou na mesma situaçao, tenho proxy transparente e caso eu queira liberar para a diretoria da empresa, e bloquear para os demais, como que fica?

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 15:46h

Veja o comentário 20. Adapte os IPs para a tua rede.

adonisdrummer
(usa Debian)

Enviado em 08/08/2013 - 16:06h

E as regras de OUTPUT nao é preciso inserir nao?

Seguindo ao que vc falou, eu inseri as regras de acordo com a minha rede e enumerei o FORWARD, colocando o de bloqueio com a numeraçao ultimo após aos de liberados.

Ta certo?

adonisdrummer
(usa Debian)

Enviado em 09/08/2013 - 10:51h

Amigo, funcionou em algumas maquina e em outras não.

Ah, quando colocou o FORWARD numerado nao deu certo. Entao eu setei as regras de bloqueio no inicio e depoois as regras de liberaçao usando o -I.

O que pode ser, pq algumas maquinas nao funcionaram?



########### Bloqueio Total #############

iptables -I FORWARD 1 -s 192.168.0.0/24 -m string --algo bm --string "facebook.com" -j DROP

######## Liberação para Diretoria ##########

## Diretor 1##

iptables -I FORWARD 1 -s 192.168.0.100 -m string --algo bm --string "facebook.com" -j ACCEPT

## Diretor 2##

iptables -I FORWARD 1 -s 192.168.0.101 -m string --algo bm --string "facebook.com" -j ACCEPT

## Diretor 3##

iptables -I FORWARD 1 -s 192.168.0.102 -m string --algo bm --string "facebook.com" -j ACCEPT