Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › Bloqueio Definitivo Facebook (https) em Proxy Transparente
Marcado: bloquear facebook dns, bloqueio, dns, facebook, facebook mobile, hosts, Proxy, transparente
- Este tópico contém 38 respostas, 21 vozes e foi atualizado pela última vez 10 anos, 4 meses atrás por Khall.
-
AutorPosts
-
-
fevereiro 28, 2013 às 9:12 pm #2381Tácio AndradeParticipante
Galera eu que já passei por tanta dor de cabeça para bloquear o facebook e demais sites que usam https como a maior parte de vocês e com a ajuda de uma dica do Bunnunim acabei de encontrar a melhor solução possível. =D
1ª Vamos criar uma regra DNS local apontando o domínio que deseja bloquear (no meu caso Facebook mais pode ser substituído por qualquer outro), para isso vá em: Rede >> Editar hosts >> Adicionar host
Adicione uma regra de acordo com a seguinte:
Endereço de IP: 127.0.0.2 (esse ip é um loopback inválido mais você pode colocar o IP que desejar)
Nome do computador (host): www
Nome do domínio: facebook.com
Pronto, desta forma ele já “bloqueia” as maquinas que estiverem usando o IP do Endian como DNS, agora e se a pessoa usar um DNS de terceiros como o da Google, como proceder? Agora vem a segunda parte da dica (agradeço ao Bunnunim), sempre tem algum engraçadinho que usa outro DNS para se livrar deste bloqueio, então para isso vamos ativar o DNS Transparente.
2ª Vá em PROXY >> DNS e ative a opção “Transparente Ligado VERDE” no check box a frente. Após isso TODOS os computadores da sua rede utilizarão o Endian como DNS de todos os pacotes de saída da rede. Agora e se eu quiser liberar a maquina do presidente, gerente ou a minha mesmo? Para isso é só adicionar seu MAC ou IP no campo: “Que fontes podem passar ao lado do proxy transparente (uma subrede/ip/mac por linha)”.
Agora com essa dica meus problemas com o facebook foi COMPLETAMENTE resolvido (só não testei o Tor ou ultrasuf).
Espero que essa dica ajude a todos.
Att. Tácio Andrade.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
março 6, 2013 às 4:35 pm #13408Hugo Feltrin da SilvaParticipante
Funcionou muito bem.
Tácio, você acha que conseguiriamos redirecionar para a página de aviso de bloqueio de conteúdo?
Abraços
-
março 6, 2013 às 11:50 pm #13409Tácio AndradeParticipante
Sim cara de forma bem tranquila. Faça o seguinte, instale um servidor web (caso não tenha muito conhecimento instale o WAMP no Windows) em alguma de suas maquinas da rede interna e coloque a página de bloqueio que você desejar (de preferência pegue a página de bloqueio do Endian de algum site e salve ela e edite o html para o nome facebook por exemplo) e coloque o IP da maquina no IP customizado que você colocou no domínio.
-
março 7, 2013 às 7:07 pm #13410titannium99Participante
Boa tarde.
Eu estou enfrentando problemas ao bloquear o bentido facebook também…
Não tenho muita experiencia com o endian ainda e estou implantando ele em um escritorio de contabilidade com 20 maquinas aprox.
Estou tentando usar com proxy transparente porque aqui eles usam muitos programas que usam a internet mas não permitem configurar um servidor proxy, para que dai eu pudesse fazer autenticado…
Dai vem aquela velha historia, o face só bloqueia se sai por http, se o usuario botar httpS consegue acessar… com isso usei a dica do “tacioandrade” e de fato funcionou!
Porém, o chefe aqui quer liberar o face pro pessoal em determinados horarios, e com isso ele bloqueou em todos os horarios!
Alguem com muita paciencia pode me dar um auxilio? hehe
Obrigado pela atenção
-
março 8, 2013 às 6:15 pm #13411frmoronariParticipante
Boa tarde;
Testei aqui a sua dica como um complemento, pois já tinha outros métodos implementados.
Mas mesmo assim obrigado por compartilhar a ideia, é de grande valia, e ninguem tinha pensado em mudar o host do facebook, o que é uma ótima ideia.
Obrigado
-
março 8, 2013 às 6:33 pm #13412titannium99Participante
frmoronari!
O sr. tem alguma solução quando o bloqueio precisa ser apenas em alguns horarios especificos?
-
março 9, 2013 às 2:10 am #13413Tácio AndradeParticipante
titannium99 por horário só com o autenticado mesmo, no Transparente não tem como mesmo, falo isso por minha experiência de quase 3 anos com o Endian (buscando uma solução para exatamente a mesma coisa que você).
-
março 9, 2013 às 2:11 am #13414Tácio AndradeParticipante
frmoronari por nada estou aqui para ajudar vocês da mesmo forma que já fui e sou ajudado por este forum a tanto tempo. =)
-
março 11, 2013 às 11:12 am #13415KhallParticipante
Tacio….
Fiz o teste aqui e realmente bloqueia, porem somente na minha maquina.
Nas demais o acesso https ficam liberados.
Me ajuda com o pq disso?
Grato.
-
março 11, 2013 às 3:56 pm #13416titannium99Participante
Grato pela atenção Tácio Andrade!
Eu estou tento problemas ao interpretar o log do firewall de saida!
Estou instalando o Endian em uma contabilidade, e eles usam varios programas da receita, do governo etc e na maioria desses problemas não é possivel configurar um servidor proxy (para dai no caso eu tornar meu proxy autenticado e sair tudo por ele pra poder bloquear o maldito face)
O sr. pode me dar alguma dica de como identificar por qual porta/ip algum determinado programa esta tentando sair pra dai eu configurar uma execessão pra ele?
-
março 11, 2013 às 4:26 pm #13417Reinaldo BomfimParticipante
Vou testar, pois estou com problemas sérios, os úsuarios estão acessando a maioria dos sites que funcionam com https e como li aqui mesmo no forúm o [efw não gerencia esse protocolo] me corrijam se eu estiver errado ou não entendi perfeitamente quanto a isso.
-
março 11, 2013 às 5:03 pm #13418Reinaldo BomfimParticipante
Me ajudem, por favor, porque eu tenho muito que aprender ainda!
esclareça pra mim o seguinte:
Endereço de IP: (é o ip da máquina que eu quero bloquear ou o do efw?)
Nome do computador (host):(é o nome da máquina que eu quero bloquear ou é o www mesmo?
Nome do domínio: facebook.com
-
março 11, 2013 às 11:42 pm #13419Tácio AndradeParticipante
Khall você habilitou o DNS transparente? Se sim obrigatoriamente deveria está funcionando. O que pode está acontecendo é o DNS neste momento ainda está em cache no SO, tente reiniciar o PC e veja se funciona. Outra coisa cheque se você não colocou o MAC dessas maquinas que estão acessando, na lista de “passe livre”.
titannium99 não precisa me chamar de senhor, pois bem provável que seja mais novo que você (tenho 23), mais sei bem o que você passa cara, no meu caso tenho uma contabilidade também e nestas maquinas eu liberei TODO o trafego de saída no firewall e faço os bloqueios apenas no Proxy mesmo. Mais caso você queira ver que porta um aplicativo usa a forma mais “simples” que conheço é usar o wireshark, ele é um programa que captura tudo que está rodando na rede, mostra os IPs, mensagens e as portas, porem se fizer isso terá que ver as portas de todos os aplicativos, por isso liberei logo tudo destas maquinas.
Reinaldo Bomfim, o Endian gerencia sim, porem se o proxy for autenticado, com proxy transparente nenhum servidor de bloqueio funciona com https. Sobre o endereço IP ele é é um endereço invalido qualquer (e não o da maquina que deseja bloquear) ao qual a maquina será redirecionado ao tentar acessar o facebook. No meu caso eu redireciono para o 127.0.0.1 (que é a própria maquina), mais você pode colocar qualquer IP inválido que desejar. E sobre o nome da maquina no caso coloquei o www pois todo mundo digita http://www.facebook.com, no caso facebook.com é o domínio e o www seria o nome do servidor que pertence ao domínio www (que em 99% dos sites é esse quem responde) =)
-
março 12, 2013 às 2:39 pm #13420Reinaldo BomfimParticipante
Tácio Andrade, muito obrigado pelas orientações, valem e muito como conhecimento sobre o efw. Em breve colocarei o proxy autenticado, com isso devo ter êxito nessas configurações.
-
março 14, 2013 às 2:12 am #13421Tácio AndradeParticipante
Por nada, boa sorte para você por ai. =)
-
março 20, 2013 às 6:59 pm #13422Marcos MedinaParticipante
Srs, usando a dica acima eu fiz um complemento para habilitar/desabilitar em determinados horários, utilizando os seguintes scripts:
==============================
root@efwxx:/var/efw/scripts # vi DNSProxyOn.sh
#!/bin/sh
cp /var/efw/dnsmasq/hosts.On /var/efw/dnsmasq/hosts
cp /var/efw/dnsmasq/settings.On /var/efw/dnsmasq/settings
/usr/local/bin/restartdnsmasq –force
exit 0
==============================
root@efwxx:/var/efw/scripts # vi DNSProxyOff.sh
#!/bin/sh
cp /var/efw/dnsmasq/hosts /var/efw/dnsmasq/hosts.On
cp /var/efw/dnsmasq/hosts.Off /var/efw/dnsmasq/hosts
cp /var/efw/dnsmasq/settings /var/efw/dnsmasq/settings.On
cp /var/efw/dnsmasq/settings.Off /var/efw/dnsmasq/settings
/usr/local/bin/restartdnsmasq –force
exit 0
==============================
root@efwxx:/etc/cron.d # vi DNSProxyOn.cron
05 13 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh
35 22 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh
==============================
root@efwxx:/etc/cron.d # cat DNSProxyOff.cron
55 11 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh
25 21 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh
==============================
Para que tudo funcione, antes de configurar o DNS conforme os posts anteriores, você deve executar os comandos:
cp /var/efw/dnsmasq/hosts /var/efw/dnsmasq/hosts.Off
cp /var/efw/dnsmasq/settings /var/efw/dnsmasq/settings.Off
Com isso, serão criados os .Off com as configs desabilitadas
Agora, basta configurar o DNS transparente e aguardar a execução.
Normalmente o DNS funciona após uns 5 mins, testei aqui e funcionou.
-
março 21, 2013 às 1:42 pm #13423frmoronariParticipante
Bom dia;
Essa regra postada pelo Tácio Andrade é a melhor de todas. Aqui vou matar o pessoal quando eles digitarem http://www.facebook.com e abrir outro site.
Muito obrigado mesmo.
Frédney
-
abril 9, 2013 às 12:20 pm #13424Julio’sParticipante
uma pergunta?
este bloqueio fazer com que posso colocar o facebook, em horario de liberação?
ou não tem jeito de fazer isto?
-
maio 6, 2013 às 7:22 pm #13425peterhigashiParticipante
Muito show essa dica adicionei 2 regras e bloquei tanto “www.facebook.com” e “pt-br.facebook.com” mais o endian não bloqueou o “m.facebook.com” informou: “Nome de host inválido.” e agora? Please!!!
Nome do computador (host): www = OK
Nome do computador (host): pt-br = OK
Nome do computador (host): m = “Nome de host inválido.”
-
maio 9, 2013 às 1:29 am #13426Tácio AndradeParticipante
frmoronari valeu pelo comentário, fico feliz em ter ajudado, =D
juliocmabr por horário de liberação não. =(
peterhigashi não tinha percebido isso, neste caso não faço ideia também, outra coisa é que usuários mobiles passam por ele. =(
-
maio 10, 2013 às 7:38 pm #13427peterhigashiParticipante
Pois é Tácio, mais se você digitar o “m.facebook.com” no navegador seja qual for você terá acesso ao Facebook mobile. Embora que é muito difícil o usuário final saber disso e você bloqueando o wi-fi da sua empresa p/ acesso celular da p/ resolver muitos problemas como eu consegui.
-
junho 5, 2013 às 2:57 pm #13428Junior RuivoParticipante
peterhigashi
Consegui bloquear o m.facebook.com editando o arquivo /var/efw/dnsmasq/hosts. Apenas
copiei e colei a linha linha superior, e editei o nome do host, olha como ficou:
cat /var/efw/dnsmasq/hosts
on,127.0.0.2,pt-br,facebook.com
on,127.0.0.2,www,facebook.com
on,127.0.0.2,m,facebook.com
Após a alteração bloqueou o endereço, é normal dar um dalay até que bloqueie, mas
funcionou certinho.
-
agosto 2, 2013 às 3:56 pm #13429ReginaldoParticipante
configurei da maneira que o Tarcio sugeriu, mas o https continua passando, um bloqueio por palavras resolveria essa questão, tenho um antigo ipcop e não me trás problemas com o facebook. como faço um bloqueio por palavras no endian 2.5.1.
-
setembro 12, 2013 às 8:49 pm #13430jacikleyParticipante
Configurei conforme as sugestões, funcionou perfeitamente, mas como tenho 4 pontos de acesso WIFI não consegui bloquear o acesso por celular. Por sugestão do Junior Ruivo temos que editar o arquivo /var/efw/dnsmasq/hosts, agora vem a pergunta como fazer essa edição. Sou novo na utilização do endian.
-
setembro 17, 2013 às 11:56 am #13431damParticipante
Muito bom o post, editando pelo arquivo hosts consegui bloquear quase todos os https, que eram uma pedra no meu sapato até então.
Mas, ainda tenho um site pra bloquear que não estou conseguindo. É o https://twitter.com.
Como ficaria editando esse dominio? Alguém ja bloqueou isso?
Desde já agradeço.
-
setembro 25, 2013 às 4:03 pm #13432adertecParticipante
cat /var/efw/dnsmasq/hosts
on,127.0.0.2,pt-br,facebook.com
on,127.0.0.2,www,facebook.com
on,127.0.0.2,m,facebook.com
poxa ate deu certo mais como liberar no hr especifico como criar esse scrip
root@efwxx:/var/efw/scripts # vi DNSProxyOn.sh
#!/bin/sh
cp /var/efw/dnsmasq/hosts.On /var/efw/dnsmasq/hosts
cp /var/efw/dnsmasq/settings.On /var/efw/dnsmasq/settings
/usr/local/bin/restartdnsmasq –force
exit 0
==============================
root@efwxx:/var/efw/scripts # vi DNSProxyOff.sh
#!/bin/sh
cp /var/efw/dnsmasq/hosts /var/efw/dnsmasq/hosts.On
cp /var/efw/dnsmasq/hosts.Off /var/efw/dnsmasq/hosts
cp /var/efw/dnsmasq/settings /var/efw/dnsmasq/settings.On
cp /var/efw/dnsmasq/settings.Off /var/efw/dnsmasq/settings
/usr/local/bin/restartdnsmasq –force
exit 0
==============================
root@efwxx:/etc/cron.d # vi DNSProxyOn.cron
05 13 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh
35 22 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh
==============================
root@efwxx:/etc/cron.d # cat DNSProxyOff.cron
55 11 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh
25 21 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh
==============================
Para que tudo funcione, antes de configurar o DNS conforme os posts anteriores, você deve executar os
po galera sou novo em linux da uma idea ai pelo puty ou winspc onde boto a hr de inici e fim
-
setembro 25, 2013 às 4:04 pm #13433adertecParticipante
onde crio o scritp
-
setembro 26, 2013 às 2:59 pm #13434adertecParticipante
ja fiz o arquivos scrips como testar se ta ok e como colocar no cond.d on informo o hr
-
setembro 30, 2013 às 1:06 pm #13435adertecParticipante
da uma forca ai tarcio
-
outubro 2, 2013 às 10:23 pm #13436albertovixParticipante
Bom para bloquear o facebook aqui da empresa eu bloqueio pelo range de ip da facebook, ate hoje nao tive problemas com isso.
-
outubro 8, 2013 às 10:04 pm #13437Jozafa SoaresParticipante
Fiz o procedimento do Tarcio.. E viola…
Mas os ips que coloquei na zona livre do DNS, não liberam o acesso ao Facebook.
-
outubro 30, 2013 às 3:27 pm #17834felipe zinkParticipante
Fiz o procedimento Tácio até funcionou, mas os IPs ou MACs que eu coloco em “Que fontes podem passar ao lado do proxy transparente (uma subrede/ip/mac por linha)” não estão liberados..
-
novembro 26, 2013 às 11:19 am #18009rodresParticipante
Olá pessoal,
Essa configuração funcionou para mim, porém gerou um outro problema, bloqueou o acesso ao nosso email corporativo (tanto via quanto outlook quanto via navegador). Alguém tem alguma sugestão para resolver o problema? Tentei colocar o IP do servidor de email na caixa “Destinos para os quais devem passar ao lado do proxy transparente”, mas não deu certo.
-
novembro 27, 2013 às 9:40 am #18024informaticaTGParticipante
Fiz esta configuração , incluindo os dominios facebook.com e youtube.com ( que agora resolveu ter https tb para nossa tristeza ! ). habilitei o dns transparente verde e de nada adiantou ..se a máquina do usuário estiver configurada com outro DNS o bloqueio não adianta de nada ..se configuro a maquina com o DNS colocando o IP do endiam , ai funciona, mas apenas para o facebook …para o youtube não resolve nada, permanece abrindo o https dele normnalmente
pior disso tudo é que o facebook ainda posso bloquear colocando os IPs dele, mas o youtube utiliza os mesmos IPs do google, g-mail etc e se eu coloco os IPs do youtube, automaticamente o google para de funcionar e precisamos dele também …
Neste caso, pensei que esta configuração do DNS resolveria, mas aqui, infelizmente não funcionou
OBS : já reiniciei o endiam e também a estação de trabalho para ter certeza de que não era o dns que tinha cache etc, mas nada resolveu …
-
novembro 27, 2013 às 9:46 am #18025informaticaTGParticipante
bom, pesquisando aqui e fazendo testes, se eu coloco o DNS do google no campo DNS do meu computador ai o bloqueio realmente funciona, mas se eu deixo como está hoje, com o DNS apontando para meu servidor de arquivos e servidor de banco de dados (preferencial e alternativo respectivamente) o bloqueio não funciona mesmo e se eu coloco o IP do endiam como DNS também não funciona o bloqueio …
o Ideal era que mesmo inserindo o IP do endiam ou o IP dos nossos servidores internos ( 192.168.0.xxx)no campo DNs da estação, o bloqueio fosse efetivo …mas infelizmente parece não dar resultado ….
-
novembro 27, 2013 às 6:00 pm #18039informaticaTGParticipante
fiz a configuração das máquinas com o DNS do google e o bloqueio está efetivo e sem quaisquer problemas, porém, percorrendo o forum agora, me deparei com um topico com esta informação :
“Bom dia,
Estou tendo problemas com o Sarg, o mesmo não gera relatório mensal a 2 mêses.
Coincidência ou não, parou logo após eu ter feito o cadastro de Hosts em Rede/Lista de Hosts.
Fiz isso para substituir os ips para o nome dos micros da rede, assim facilitando quem é quem nos acessos a internet.O relatório diário gera normalmente, com os nomes de host cadastrados, o semanal parou a 1 semana e mensal não gera desde agosto.
Alguém pode me ajudar?
Obrigado.”ou seja, o cara diz que passou a ter problemas com os relatórios do sarg após configurar esta lista de HOSTS , exatamente o mesmo local que alteramos aqui nestas configurações para inserir o facebook e youtube …
agora pergunto : alguem de vcs que fez este procedimento de editar e colocar na lista de hosts, teve o mesmo problema com os relatórios do sarg mensal ? ou o caso citado acima ocorreu apenas com esta pessoa ?
Fiquei numa dúvida danada e com receio , mas espero não ter problemas pois o bloqueio funcionou muito bem desta forma, melhorou 100%
alguem teve este problema ?
-
dezembro 5, 2013 às 1:10 pm #18077mayke007Participante
Para quem quiser, criei uma regra no FIREWALL- trafego de saida, bloqueando de qualquer ORIGEM para os ip do facebook.com e ja tem mais de um ano e funcionando que e uma beleza, para quem quiser segue abaixo os IP que fiz o bloqueio.
Foi o método mais fácil e pratico que encontrei.
66.220.144.0/20
69.63.176.0/20
204.15.20.0/22
69.171.224.0/19
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/21
66.220.144.0/21
204.15.20.0/22
31.13.78.0/24
31.13.77.0/24
31.13.76.0/24
31.13.75.0/24
31.13.73.0/24
31.13.72.0/24
31.13.69.0/24
31.13.64.0/24
31.13.64.0/19
31.13.24.0/21
173.252.96.0/19
173.252.70.0/24
173.252.64.0/19
65.201.208.24/29
65.204.104.128/28
66.92.180.48/28
66.93.78.176/29
66.199.37.136/29
67.200.105.48/30
74.119.76.0/22
173.252.64.0/18 -
dezembro 7, 2013 às 9:18 am #18096RAMON ROCHAParticipante
Como crio esta regra Network permitindo o acesso de apenas alguns IPs?
-
dezembro 9, 2013 às 9:16 am #18101KhallParticipante
rocha.ramon
Vc coloca esses Ip’s que quer liberar na origem…
Coloca Rede/Ip
E adiciona os ip’s
-
-
AutorPosts
- O tópico ‘Bloqueio Definitivo Facebook (https) em Proxy Transparente’ está fechado para novas respostas.