BFW Firewall & Router

[elvisf156]

Galera há umas semanas tenho este roteador,mais nao consigo fazer o bloqueios de sites como .. facebook, globo.com e outros.
Olha como ta minhas regras personalizadas

#Lista de controle de Acesso
acl Sites_Bloqueados url_regex -i "/etc/brazilfw/custom/Sites_Bloqueados"

#Restrições do Proxy
http_access deny Sites_Bloqueados

Oque eu faço ?

[guilhermek]

A moda agora é segurança e com isso vem o HTTPS e os sites cada vez mais estão migrando para utilização deste protocolo.
o que acontece é que o HTTPS é uma conexão segura, ou seja, criptografada. O Squid não consegue intervir nesta conexão e por consequência não fará o bloqueio dos sites que utilizarem este protocolo.
A única opção é configurar proxy ativo nos navegadores, somente desta forma será possível fazer os bloqueios por acl ou mesmo o dansguardian.

[max.moura]

Bom dia!

Qual a versão está utilizando do BFW?
Para bloqueios de sites pode-se utilizar o Dansguardian.

Na Wiki possui material para referência:

Dansguardian

http://pt-br.wiki.brazilfw.com.br/Dansguardian/pt-br

Addon painel de controle Dansguardian (facilita a administração)

http://www.brazilfw.com.br/forum/viewtopic.php?f=58&t=80730

A forma com a qual você esta fazendo o bloqueio (ACL) é mais específica e requer um pouco mais de conhecimento, com o Dansguardian facilita o processo para bloqueio dos sites que deseja.


Para o bloqueio no Facebook utilizo esta seguinte regra:

Código: Selecionar todos

##BLOQUEIO DO FACEBOOK
FACEBOOK_IP_RANGE="31.13.64.0-31.13.127.255 31.13.24.0-31.13.31.255 74.119.76.0-74.119.79.255 69.63.176.0-69.63.191.255 69.171.224.0-69.171.255.255 66.220.144.0-66.220.159.255 204.15.20.0-204.15.23.255 173.252.64.0-173.252.127.255"
iptables -N FACEBOOK

## FACEBOOK DENY
for face in $FACEBOOK_IP_RANGE; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 80 -j FACEBOOK

done

## FACEBOOK_ALLOW="192.168.254.101 192.168.254.102 192.168.254.107 192.168.254.108 192.168.254.106 192.168.254.109" #Diretoria
## for MSR_LIBERADO in $FACEBOOK_ALLOW; do
## iptables -I FACEBOOK -s $MSR_LIBERADO -j ACCEPT
## done

iptables -A FACEBOOK -j REJECT

exit 0
/usr/bin/./redir.pl

[elvisf156]

A moda agora é segurança e com isso vem o HTTPS e os sites cada vez mais estão migrando para utilização deste protocolo.
o que acontece é que o HTTPS é uma conexão segura, ou seja, criptografada. O Squid não consegue intervir nesta conexão e por consequência não fará o bloqueio dos sites que utilizarem este protocolo.
A única opção é configurar proxy ativo nos navegadores, somente desta forma será possível fazer os bloqueios por acl ou mesmo o dansguardian.

Hum.. minha versao e a 3.0.259, pensei que ela bloqueava https... E agora a unica saida e ir em maquina e maquina pra colocar
nas opções de internet e configurar o proxy manual ? tipo 192.168.0.1:8181 ?

[guilhermek]

A moda agora é segurança e com isso vem o HTTPS e os sites cada vez mais estão migrando para utilização deste protocolo.
o que acontece é que o HTTPS é uma conexão segura, ou seja, criptografada. O Squid não consegue intervir nesta conexão e por consequência não fará o bloqueio dos sites que utilizarem este protocolo.
A única opção é configurar proxy ativo nos navegadores, somente desta forma será possível fazer os bloqueios por acl ou mesmo o dansguardian.

Hum.. minha versao e a 3.0.259, pensei que ela bloqueava https... E agora a unica saida e ir em maquina e maquina pra colocar
nas opções de internet e configurar o proxy manual ? tipo 192.168.0.1:8181 ?

Exatamente, se as maquinas forem participantes de dominio (AD) dá para fazer por GPO.
Só corrigindo Utiliza-se o IP do BFW e PORTA do SQUID (3128 ou 80). 192.168.0.1:80 ou 192.168.0.1:3128.. Essa porta acima (8181) é da interface web do BFW.

Você tem que entender que nenhum firewall bloqueia HTTPS, é a forma como o protocolo funciona não o firewall. Existem proxys https, assim como o Squid o é mas é outro assunto, requer certificado digital no firewall e nas maquinas e não sei dizer até que ponto o BFW funcionaria com isso.

[elvisf156]

Bom dia!

Qual a versão está utilizando do BFW?
Para bloqueios de sites pode-se utilizar o Dansguardian.

Na Wiki possui material para referência:

Dansguardian

http://pt-br.wiki.brazilfw.com.br/Dansguardian/pt-br

Addon painel de controle Dansguardian (facilita a administração)

http://www.brazilfw.com.br/forum/viewtopic.php?f=58&t=80730

A forma com a qual você esta fazendo o bloqueio (ACL) é mais específica e requer um pouco mais de conhecimento, com o Dansguardian facilita o processo para bloqueio dos sites que deseja.


Para o bloqueio no Facebook utilizo esta seguinte regra:

Código: Selecionar todos

##BLOQUEIO DO FACEBOOK
FACEBOOK_IP_RANGE="31.13.64.0-31.13.127.255 31.13.24.0-31.13.31.255 74.119.76.0-74.119.79.255 69.63.176.0-69.63.191.255 69.171.224.0-69.171.255.255 66.220.144.0-66.220.159.255 204.15.20.0-204.15.23.255 173.252.64.0-173.252.127.255"
iptables -N FACEBOOK

## FACEBOOK DENY
for face in $FACEBOOK_IP_RANGE; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 80 -j FACEBOOK

done

## FACEBOOK_ALLOW="192.168.254.101 192.168.254.102 192.168.254.107 192.168.254.108 192.168.254.106 192.168.254.109" #Diretoria
## for MSR_LIBERADO in $FACEBOOK_ALLOW; do
## iptables -I FACEBOOK -s $MSR_LIBERADO -j ACCEPT
## done

iptables -A FACEBOOK -j REJECT

exit 0
/usr/bin/./redir.pl

Bom dia amigo, estou usando a versao 3.0.259.

Ja tentei pelo dansguardiam tb.

Fui em etc,brazil..,dansgua..listas.. banede sitelistas. e la ta assim.


#domains in banned list
#Don't bother with the www. or the http://

#The bannedurllist is for blocking PART of a site
#The bannedsitelist is for blocking ALL of a site

#As of DansGuardian 2.7.3 you can now include
#.tld so for example you can match .gov for example

#The 'grey' lists override the 'banned' lists.
#The 'exception' lists override the 'banned' lists also.
#The difference is that the 'exception' lists completely switch
#off *all* other filtering for the match. 'grey' lists only
#stop the URL filtering and allow the normal filtering to work.

#An example of grey list use is when in Blanket Block (whitelist)
#mode and you want to allow some sites but still filter as normal
#on their content

#Another example of grey list use is when you ban a site but want
#to allow part of it.

#You can have multiple .Includes.

# Time limiting syntax:
# #time: <start hour> <start minute> <end hour> <end minute> <days>
# Example:
##time: 9 0 17 0 01234
# Remove the first # from the line above to enable this list only from
# 9am to 5pm, Monday to Friday.

# List categorisation
#listcategory: "Banned Sites"

#List other sites to block:
facebook.com
badboys.com

#Blanket Block. To block all sites except those in the
#exceptionsitelist and greysitelist files, remove
#the # from the next line to leave only a '**':
#**

#Blanket SSL/CONNECT Block. To block all SSL
#and CONNECT tunnels except to addresses in the
#exceptionsitelist and greysitelist files, remove
#the # from the next line to leave only a '**s':
#**s

#Blanket IP Block. To block all sites specified only as an IP,
#remove the # from the next line to leave only a '*ip':
#*ip

#Blanket SSL/CONNECT IP Block. To block all SSL and CONNECT
#tunnels to sites specified only as an IP,
#remove the # from the next line to leave only a '*ips':
#*ips

facebook.com



oque vc acha ?

[guilhermek]

Funciona também, DESDE QUE ESTEJA UTILIZANDO PROXY ATIVO!

Voce tem que entender que não é culpa do firewall e sim como funcionam os protocolos, https infelizmente para conseguir bloquear sem proxy ativo, somente com proxy https que utiliza certificado digital e etc... é outra história...

A sua regra de ACL no squid funcionará a partir do momento em que configurar proxy nos navegadores.

Bloquear facebook por intervalos de IP vai funcionar até um certo ponto, mas te gerará bastante manutenção, atualização desta regra quando os IPs mudarem e etc... E os demais sites https tal qual twitter, youtube e etc??

[elvisf156]

Bloquear facebook por intervalos de IP vai funcionar até um certo ponto, mas te gerará bastante manutenção, atualização desta regra quando os IPs mudarem e etc... E os demais sites https tal qual twitter, youtube e etc??

Configurei aqui o IE no virtual box com 192.168.0.1:3128 e bloqueiuo face.
Mais posso fazer so com facebook.com sem usar ip ?

[max.moura]

Bom dia,

Colocando o que lhe enviei em "Configurações > Sistema > Script de Inicialização" não será necessário adicionar proxy as máquinas clientes.
Basta somente reinicializar que já não poderá mais ser acessado o "Facebook", o que mais for Https funcionará normalmente. Esta é a regra que utilizo em meu ambiente para dificultar o acesso ao Facebook (sendo por Https).

Código: Selecionar todos

##BLOQUEIO DO FACEBOOK
FACEBOOK_IP_RANGE="31.13.64.0-31.13.127.255 31.13.24.0-31.13.31.255 74.119.76.0-74.119.79.255 69.63.176.0-69.63.191.255 69.171.224.0-69.171.255.255 66.220.144.0-66.220.159.255 204.15.20.0-204.15.23.255 173.252.64.0-173.252.127.255"
iptables -N FACEBOOK

## FACEBOOK DENY
for face in $FACEBOOK_IP_RANGE; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 80 -j FACEBOOK

done

## FACEBOOK_ALLOW="192.168.254.101 192.168.254.102 192.168.254.107 192.168.254.108 192.168.254.106 192.168.254.109" #Diretoria
## for MSR_LIBERADO in $FACEBOOK_ALLOW; do
## iptables -I FACEBOOK -s $MSR_LIBERADO -j ACCEPT
## done

iptables -A FACEBOOK -j REJECT

exit 0
/usr/bin/./redir.pl


[guilhermek]

Bom dia,

Colocando o que lhe enviei em "Configurações > Sistema > Script de Inicialização" não será necessário adicionar proxy as máquinas clientes.
Basta somente reinicializar que já não poderá mais ser acessado o "Facebook", o que mais for Https funcionará normalmente. Esta é a regra que utilizo em meu ambiente para dificultar o acesso ao Facebook (sendo por Https).

Código: Selecionar todos

##BLOQUEIO DO FACEBOOK
FACEBOOK_IP_RANGE="31.13.64.0-31.13.127.255 31.13.24.0-31.13.31.255 74.119.76.0-74.119.79.255 69.63.176.0-69.63.191.255 69.171.224.0-69.171.255.255 66.220.144.0-66.220.159.255 204.15.20.0-204.15.23.255 173.252.64.0-173.252.127.255"
iptables -N FACEBOOK

## FACEBOOK DENY
for face in $FACEBOOK_IP_RANGE; do
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range $face --dport 80 -j FACEBOOK

done

## FACEBOOK_ALLOW="192.168.254.101 192.168.254.102 192.168.254.107 192.168.254.108 192.168.254.106 192.168.254.109" #Diretoria
## for MSR_LIBERADO in $FACEBOOK_ALLOW; do
## iptables -I FACEBOOK -s $MSR_LIBERADO -j ACCEPT
## done

iptables -A FACEBOOK -j REJECT

exit 0
/usr/bin/./redir.pl


Sim você venceu a batalha mas com certeza perderá a guerra. Vai sempre estar tendo que dar manutenção nesta regra. Além disso outros sites que quiser bloquear, daqui a pouco vocês estarão bloqueando toda a internet por conta de 3 ou 4 sites huahuahua

Esse script ai, quando alterado, só reiniciando o firewall, vocês podem fazer melhor, colocando opções de limpar regras, quando atualizar não ser necessário reiniciar firewall..

[max.moura]

Sim, esta é uma solução paliativa que já uso a um bom tempo (e bote tempo nisso), esta guerra sabemos que é muito difícil de vencer, mas de batalha em batalha podemos chegar lá! Possuo clientes (que eventualmente se conectam em minha rede) que não é possível adicionar proxy manualmente ao navegador (e não fazem parte do meu AD, sendo assim não é possível aplicar GPO de proxy).

É obvio que se forem adicionados mais endereços IP será necessário realizar a mudança na regra, mas esta até o momento foi a melhor maneira que encontrei para dificultar o acesso dos colaboradores da empresa.

A regra pode ser adicionada também em: "Configurações > Cache em disco > Regras personalizadas", podendo recarregar na hora em que bem entender, sem ser necessário reiniciar o BFW, coloco em Script de Inicialização por outras questões dentro do meu firewall.

Esta é uma das maneiras (que logicamente não é a melhor) de dificultar o acesso ao Facebook.
Espero que ajude de alguma forma, ou que ao menos seja uma opção.
Abraços!

[guilhermek]

Sim, esta é uma solução paliativa que já uso a um bom tempo (e bote tempo nisso), esta guerra sabemos que é muito difícil de vencer, mas de batalha em batalha podemos chegar lá! Possuo clientes (que eventualmente se conectam em minha rede) que não é possível adicionar proxy manualmente ao navegador (e não fazem parte do meu AD, sendo assim não é possível aplicar GPO de proxy).

É obvio que se forem adicionados mais endereços IP será necessário realizar a mudança na regra, mas esta até o momento foi a melhor maneira que encontrei para dificultar o acesso dos colaboradores da empresa.

A regra pode ser adicionada também em: "Configurações > Cache em disco > Regras personalizadas", podendo recarregar na hora em que bem entender, sem ser necessário reiniciar o BFW, coloco em Script de Inicialização por outras questões dentro do meu firewall.

Esta é uma das maneiras (que logicamente não é a melhor) de dificultar o acesso ao Facebook.
Espero que ajude de alguma forma, ou que ao menos seja uma opção.
Abraços!

Eu te entendo, dependendo do tamanho da empresa, pode ser administrável, mas com o passar do tempo fica cansativo.
T.I tem que ter tempo pra outras coisas, não só ficar atualizando regrinha de firewall né..

Essa questão de cliente de fora da rede, também tem solução... Hoje ninguém se preocupa com segurança. Daqui a pouco com tanta informatização por ai, vai ta cheio de hackerzinho querendo roubar informação.