Bloqueio Definitivo Facebook (https) em Proxy Transparente

[Tácio Andrade]

Galera eu que já passei por tanta dor de cabeça para bloquear o facebook e demais sites que usam https como a maior parte de vocês e com a ajuda de uma dica do Bunnunim acabei de encontrar a melhor solução possível. =D

1ª Vamos criar uma regra DNS local apontando o domínio que deseja bloquear (no meu caso Facebook mais pode ser substituído por qualquer outro), para isso vá em: Rede >> Editar hosts >> Adicionar host

Adicione uma regra de acordo com a seguinte:

Endereço de IP: 127.0.0.2 (esse ip é um loopback inválido mais você pode colocar o IP que desejar)

Nome do computador (host): www

Nome do domínio: facebook.com

Pronto, desta forma ele já “bloqueia” as maquinas que estiverem usando o IP do Endian como DNS, agora e se a pessoa usar um DNS de terceiros como o da Google, como proceder? Agora vem a segunda parte da dica (agradeço ao Bunnunim), sempre tem algum engraçadinho que usa outro DNS para se livrar deste bloqueio, então para isso vamos ativar o DNS Transparente.

2ª Vá em PROXY >> DNS e ative a opção “Transparente Ligado VERDE” no check box a frente. Após isso TODOS os computadores da sua rede utilizarão o Endian como DNS de todos os pacotes de saída da rede. Agora e se eu quiser liberar a maquina do presidente, gerente ou a minha mesmo? Para isso é só adicionar seu MAC ou IP no campo: “Que fontes podem passar ao lado do proxy transparente (uma subrede/ip/mac por linha)”.

Agora com essa dica meus problemas com o facebook foi COMPLETAMENTE resolvido (só não testei o Tor ou ultrasuf).

Espero que essa dica ajude a todos.

Att. Tácio Andrade.

[Hugo Feltrin da Silva]

Funcionou muito bem.

Tácio, você acha que conseguiriamos redirecionar para a página de aviso de bloqueio de conteúdo?

Abraços

[Tácio Andrade]

Sim cara de forma bem tranquila. Faça o seguinte, instale um servidor web (caso não tenha muito conhecimento instale o WAMP no Windows) em alguma de suas maquinas da rede interna e coloque a página de bloqueio que você desejar (de preferência pegue a página de bloqueio do Endian de algum site e salve ela e edite o html para o nome facebook por exemplo) e coloque o IP da maquina no IP customizado que você colocou no domínio.

[titannium99]

Boa tarde.

Eu estou enfrentando problemas ao bloquear o bentido facebook também…

Não tenho muita experiencia com o endian ainda e estou implantando ele em um escritorio de contabilidade com 20 maquinas aprox.

Estou tentando usar com proxy transparente porque aqui eles usam muitos programas que usam a internet mas não permitem configurar um servidor proxy, para que dai eu pudesse fazer autenticado…

Dai vem aquela velha historia, o face só bloqueia se sai por http, se o usuario botar httpS consegue acessar… com isso usei a dica do “tacioandrade” e de fato funcionou!

Porém, o chefe aqui quer liberar o face pro pessoal em determinados horarios, e com isso ele bloqueou em todos os horarios!

Alguem com muita paciencia pode me dar um auxilio? hehe

Obrigado pela atenção

[frmoronari]

Boa tarde;

Testei aqui a sua dica como um complemento, pois já tinha outros métodos implementados.

Mas mesmo assim obrigado por compartilhar a ideia, é de grande valia, e ninguem tinha pensado em mudar o host do facebook, o que é uma ótima ideia.

Obrigado

[titannium99]

frmoronari!

O sr. tem alguma solução quando o bloqueio precisa ser apenas em alguns horarios especificos?

[Tácio Andrade]

titannium99 por horário só com o autenticado mesmo, no Transparente não tem como mesmo, falo isso por minha experiência de quase 3 anos com o Endian (buscando uma solução para exatamente a mesma coisa que você).

[Tácio Andrade]

frmoronari por nada estou aqui para ajudar vocês da mesmo forma que já fui e sou ajudado por este forum a tanto tempo. =)

[Khall]

Tacio….

Fiz o teste aqui e realmente bloqueia, porem somente na minha maquina.

Nas demais o acesso https ficam liberados.

Me ajuda com o pq disso?

Grato.

[titannium99]

Grato pela atenção Tácio Andrade!

Eu estou tento problemas ao interpretar o log do firewall de saida!

Estou instalando o Endian em uma contabilidade, e eles usam varios programas da receita, do governo etc e na maioria desses problemas não é possivel configurar um servidor proxy (para dai no caso eu tornar meu proxy autenticado e sair tudo por ele pra poder bloquear o maldito face)

O sr. pode me dar alguma dica de como identificar por qual porta/ip algum determinado programa esta tentando sair pra dai eu configurar uma execessão pra ele?

[Reinaldo Bomfim]

Vou testar, pois estou com problemas sérios, os úsuarios estão acessando a maioria dos sites que funcionam com https e como li aqui mesmo no forúm o [efw não gerencia esse protocolo] me corrijam se eu estiver errado ou não entendi perfeitamente quanto a isso.

[Reinaldo Bomfim]

Me ajudem, por favor, porque eu tenho muito que aprender ainda!

esclareça pra mim o seguinte:

Endereço de IP: (é o ip da máquina que eu quero bloquear ou o do efw?)

Nome do computador (host):(é o nome da máquina que eu quero bloquear ou é o www mesmo?

Nome do domínio: facebook.com

[Tácio Andrade]

Khall você habilitou o DNS transparente? Se sim obrigatoriamente deveria está funcionando. O que pode está acontecendo é o DNS neste momento ainda está em cache no SO, tente reiniciar o PC e veja se funciona. Outra coisa cheque se você não colocou o MAC dessas maquinas que estão acessando, na lista de “passe livre”.

titannium99 não precisa me chamar de senhor, pois bem provável que seja mais novo que você (tenho 23), mais sei bem o que você passa cara, no meu caso tenho uma contabilidade também e nestas maquinas eu liberei TODO o trafego de saída no firewall e faço os bloqueios apenas no Proxy mesmo. Mais caso você queira ver que porta um aplicativo usa a forma mais “simples” que conheço é usar o wireshark, ele é um programa que captura tudo que está rodando na rede, mostra os IPs, mensagens e as portas, porem se fizer isso terá que ver as portas de todos os aplicativos, por isso liberei logo tudo destas maquinas.

Reinaldo Bomfim, o Endian gerencia sim, porem se o proxy for autenticado, com proxy transparente nenhum servidor de bloqueio funciona com https. Sobre o endereço IP ele é é um endereço invalido qualquer (e não o da maquina que deseja bloquear) ao qual a maquina será redirecionado ao tentar acessar o facebook. No meu caso eu redireciono para o 127.0.0.1 (que é a própria maquina), mais você pode colocar qualquer IP inválido que desejar. E sobre o nome da maquina no caso coloquei o www pois todo mundo digita http://www.facebook.com, no caso facebook.com é o domínio e o www seria o nome do servidor que pertence ao domínio www (que em 99% dos sites é esse quem responde) =)

[Reinaldo Bomfim]

Tácio Andrade, muito obrigado pelas orientações, valem e muito como conhecimento sobre o efw. Em breve colocarei o proxy autenticado, com isso devo ter êxito nessas configurações.

[Tácio Andrade]

Por nada, boa sorte para você por ai. =)

[Marcos Medina]

Srs, usando a dica acima eu fiz um complemento para habilitar/desabilitar em determinados horários, utilizando os seguintes scripts:

==============================

root@efwxx:/var/efw/scripts # vi DNSProxyOn.sh

#!/bin/sh

cp /var/efw/dnsmasq/hosts.On /var/efw/dnsmasq/hosts

cp /var/efw/dnsmasq/settings.On /var/efw/dnsmasq/settings

/usr/local/bin/restartdnsmasq –force

exit 0

==============================

root@efwxx:/var/efw/scripts # vi DNSProxyOff.sh

#!/bin/sh

cp /var/efw/dnsmasq/hosts /var/efw/dnsmasq/hosts.On

cp /var/efw/dnsmasq/hosts.Off /var/efw/dnsmasq/hosts

cp /var/efw/dnsmasq/settings /var/efw/dnsmasq/settings.On

cp /var/efw/dnsmasq/settings.Off /var/efw/dnsmasq/settings

/usr/local/bin/restartdnsmasq –force

exit 0

==============================

root@efwxx:/etc/cron.d # vi DNSProxyOn.cron

05 13 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh

35 22 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh

==============================

root@efwxx:/etc/cron.d # cat DNSProxyOff.cron

55 11 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh

25 21 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh

==============================

Para que tudo funcione, antes de configurar o DNS conforme os posts anteriores, você deve executar os comandos:

cp /var/efw/dnsmasq/hosts /var/efw/dnsmasq/hosts.Off

cp /var/efw/dnsmasq/settings /var/efw/dnsmasq/settings.Off

Com isso, serão criados os .Off com as configs desabilitadas

Agora, basta configurar o DNS transparente e aguardar a execução.

Normalmente o DNS funciona após uns 5 mins, testei aqui e funcionou.

[frmoronari]

Bom dia;

Essa regra postada pelo Tácio Andrade é a melhor de todas. Aqui vou matar o pessoal quando eles digitarem http://www.facebook.com e abrir outro site.

Muito obrigado mesmo.

Frédney

[Julio’s]

uma pergunta?

este bloqueio fazer com que posso colocar o facebook, em horario de liberação?

ou não tem jeito de fazer isto?

[peterhigashi]

Muito show essa dica adicionei 2 regras e bloquei tanto “www.facebook.com” e “pt-br.facebook.com” mais o endian não bloqueou o “m.facebook.com” informou: “Nome de host inválido.” e agora? Please!!!

Nome do computador (host): www = OK

Nome do computador (host): pt-br = OK

Nome do computador (host): m = “Nome de host inválido.”

[Tácio Andrade]

frmoronari valeu pelo comentário, fico feliz em ter ajudado, =D

juliocmabr por horário de liberação não. =(

peterhigashi não tinha percebido isso, neste caso não faço ideia também, outra coisa é que usuários mobiles passam por ele. =(

[peterhigashi]

Pois é Tácio, mais se você digitar o “m.facebook.com” no navegador seja qual for você terá acesso ao Facebook mobile. Embora que é muito difícil o usuário final saber disso e você bloqueando o wi-fi da sua empresa p/ acesso celular da p/ resolver muitos problemas como eu consegui.

[Junior Ruivo]

peterhigashi

Consegui bloquear o m.facebook.com editando o arquivo /var/efw/dnsmasq/hosts. Apenas

copiei e colei a linha linha superior, e editei o nome do host, olha como ficou:

cat /var/efw/dnsmasq/hosts

on,127.0.0.2,pt-br,facebook.com

on,127.0.0.2,www,facebook.com

on,127.0.0.2,m,facebook.com

Após a alteração bloqueou o endereço, é normal dar um dalay até que bloqueie, mas

funcionou certinho.

[Reginaldo]

configurei da maneira que o Tarcio sugeriu, mas o https continua passando, um bloqueio por palavras resolveria essa questão, tenho um antigo ipcop e não me trás problemas com o facebook. como faço um bloqueio por palavras no endian 2.5.1.

[jacikley]

Configurei conforme as sugestões, funcionou perfeitamente, mas como tenho 4 pontos de acesso WIFI não consegui bloquear o acesso por celular. Por sugestão do Junior Ruivo temos que editar o arquivo /var/efw/dnsmasq/hosts, agora vem a pergunta como fazer essa edição. Sou novo na utilização do endian.

[dam]

Muito bom o post, editando pelo arquivo hosts consegui bloquear quase todos os https, que eram uma pedra no meu sapato até então.

Mas, ainda tenho um site pra bloquear que não estou conseguindo. É o https://twitter.com.

Como ficaria editando esse dominio? Alguém ja bloqueou isso?

Desde já agradeço.

[adertec]

cat /var/efw/dnsmasq/hosts

on,127.0.0.2,pt-br,facebook.com

on,127.0.0.2,www,facebook.com

on,127.0.0.2,m,facebook.com

poxa ate deu certo mais como liberar no hr especifico como criar esse scrip

root@efwxx:/var/efw/scripts # vi DNSProxyOn.sh

#!/bin/sh

cp /var/efw/dnsmasq/hosts.On /var/efw/dnsmasq/hosts

cp /var/efw/dnsmasq/settings.On /var/efw/dnsmasq/settings

/usr/local/bin/restartdnsmasq –force

exit 0

==============================

root@efwxx:/var/efw/scripts # vi DNSProxyOff.sh

#!/bin/sh

cp /var/efw/dnsmasq/hosts /var/efw/dnsmasq/hosts.On

cp /var/efw/dnsmasq/hosts.Off /var/efw/dnsmasq/hosts

cp /var/efw/dnsmasq/settings /var/efw/dnsmasq/settings.On

cp /var/efw/dnsmasq/settings.Off /var/efw/dnsmasq/settings

/usr/local/bin/restartdnsmasq –force

exit 0

==============================

root@efwxx:/etc/cron.d # vi DNSProxyOn.cron

05 13 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh

35 22 * * * [ -x /var/efw/scritps/DNSProxyOn.sh ] && /var/efw/scripts/DNSProxyOn.sh

==============================

root@efwxx:/etc/cron.d # cat DNSProxyOff.cron

55 11 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh

25 21 * * * [ -x /var/efw/scritps/DNSProxyOff.sh ] && /var/efw/scripts/DNSProxyOff.sh

==============================

Para que tudo funcione, antes de configurar o DNS conforme os posts anteriores, você deve executar os

po galera sou novo em linux da uma idea ai pelo puty ou winspc onde boto a hr de inici e fim

[adertec]

onde crio o scritp

[adertec]

ja fiz o arquivos scrips como testar se ta ok e como colocar no cond.d on informo o hr

[adertec]

da uma forca ai tarcio

[albertovix]

Bom para bloquear o facebook aqui da empresa eu bloqueio pelo range de ip da facebook, ate hoje nao tive problemas com isso.

[Jozafa Soares]

Fiz o procedimento do Tarcio.. E viola…

Mas os ips que coloquei na zona livre do DNS, não liberam o acesso ao Facebook.

[felipe zink]

Fiz o procedimento Tácio até funcionou, mas os IPs ou MACs que eu coloco em “Que fontes podem passar ao lado do proxy transparente (uma subrede/ip/mac por linha)” não estão liberados..

[rodres]

Olá pessoal,

Essa configuração funcionou para mim, porém gerou um outro problema, bloqueou o acesso ao nosso email corporativo (tanto via quanto outlook quanto via navegador). Alguém tem alguma sugestão para resolver o problema? Tentei colocar o IP do servidor de email na caixa “Destinos para os quais devem passar ao lado do proxy transparente”, mas não deu certo.

[informaticaTG]

Fiz esta configuração , incluindo os dominios facebook.com e youtube.com ( que agora resolveu ter https tb para nossa tristeza ! ). habilitei o dns transparente verde e de nada adiantou ..se a máquina do usuário estiver configurada com outro DNS o bloqueio não adianta de nada ..se configuro a maquina com o DNS colocando o IP do endiam , ai funciona, mas apenas para o facebook …para o youtube não resolve nada, permanece abrindo o https dele normnalmente

pior disso tudo é que o facebook ainda posso bloquear colocando os IPs dele, mas o youtube utiliza os mesmos IPs do google, g-mail etc e se eu coloco os IPs do youtube, automaticamente o google para de funcionar e precisamos dele também …

Neste caso, pensei que esta configuração do DNS resolveria, mas aqui, infelizmente não funcionou

OBS : já reiniciei o endiam e também a estação de trabalho para ter certeza de que não era o dns que tinha cache etc, mas nada resolveu …

[informaticaTG]

bom, pesquisando aqui e fazendo testes, se eu coloco o DNS do google no campo DNS do meu computador ai o bloqueio realmente funciona, mas se eu deixo como está hoje, com o DNS apontando para meu servidor de arquivos e servidor de banco de dados (preferencial e alternativo respectivamente) o bloqueio não funciona mesmo e se eu coloco o IP do endiam como DNS também não funciona o bloqueio …

o Ideal era que mesmo inserindo o IP do endiam ou o IP dos nossos servidores internos ( 192.168.0.xxx)no campo DNs da estação, o bloqueio fosse efetivo …mas infelizmente parece não dar resultado ….

[informaticaTG]

fiz a configuração das máquinas com o DNS do google e o bloqueio está efetivo e sem quaisquer problemas, porém, percorrendo o forum agora, me deparei com um topico com esta informação :

“Bom dia,

Estou tendo problemas com o Sarg, o mesmo não gera relatório mensal a 2 mêses.
Coincidência ou não, parou logo após eu ter feito o cadastro de Hosts em Rede/Lista de Hosts.
Fiz isso para substituir os ips para o nome dos micros da rede, assim facilitando quem é quem nos acessos a internet.

O relatório diário gera normalmente, com os nomes de host cadastrados, o semanal parou a 1 semana e mensal não gera desde agosto.

Alguém pode me ajudar?
Obrigado.”

ou seja, o cara diz que passou a ter problemas com os relatórios do sarg após configurar esta lista de HOSTS , exatamente o mesmo local que alteramos aqui nestas configurações para inserir o facebook e youtube …

agora pergunto : alguem de vcs que fez este procedimento de editar e colocar na lista de hosts, teve o mesmo problema com os relatórios do sarg mensal ? ou o caso citado acima ocorreu apenas com esta pessoa ?

Fiquei numa dúvida danada e com receio , mas espero não ter problemas pois o bloqueio funcionou muito bem desta forma, melhorou 100%

alguem teve este problema ?

[mayke007]

Para quem quiser, criei uma regra no FIREWALL- trafego de saida, bloqueando de qualquer ORIGEM para os ip do facebook.com e ja tem mais de um ano e funcionando que e uma beleza, para quem quiser segue abaixo os IP que fiz o bloqueio.

Foi o método mais fácil e pratico que encontrei.

66.220.144.0/20
69.63.176.0/20
204.15.20.0/22
69.171.224.0/19
74.119.76.0/22
69.63.184.0/21
69.63.176.0/21
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/21
66.220.144.0/21
204.15.20.0/22
31.13.78.0/24
31.13.77.0/24
31.13.76.0/24
31.13.75.0/24
31.13.73.0/24
31.13.72.0/24
31.13.69.0/24
31.13.64.0/24
31.13.64.0/19
31.13.24.0/21
173.252.96.0/19
173.252.70.0/24
173.252.64.0/19
65.201.208.24/29
65.204.104.128/28
66.92.180.48/28
66.93.78.176/29
66.199.37.136/29
67.200.105.48/30
74.119.76.0/22
173.252.64.0/18

[RAMON ROCHA]

Como crio esta regra Network permitindo o acesso de apenas alguns IPs?

[Khall]

rocha.ramon

Vc coloca esses Ip’s que quer liberar na origem…

Coloca Rede/Ip

E adiciona os ip’s

[Autor]

Posts