BFW Firewall & Router

[Klonoa331]

Ola galera,
pesquisei muito na internet sobre o funcionamente do IP Tables e pesquisei muito aqui no forum sobre IPTables e como bloquear o facebook por exemplo, tentei todos os metodos utilizados por todos aqui que disseram que tiveram sucesso, porem eu nao consigo.

Ele nao bloqueia por nada nessa vida to comecando a sei la desistir ja....

Segue abaixo a conf que eu fiz de IPTables, Lembrando que tentei muitas outras regras que encontrei aqui para o mesmo assunto mas nao deu certo.

Código: Selecionar todos

#--------------------- Bloqueio Redes Sociais ---------------------
#Facebook

iptables -I OUTPUT -i eth0 --string "facebook.com"  -p tcp -dport 80 -p tcp -dport 443 -j REJECT
iptables -I FORWARD -i eth0 --string "facebook.com"  -p tcp -dport 80 -p tcp -dport 443 -j REJECT


Fico muito grato com a ajuda de voces.

[carlos_silvasantos]

Boa noite,

Têm outras formas... Mas teste essa:

Código: Selecionar todos

#Bloqueio do Facebook HTTPs
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
#iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP

Caso ainda tenha problema descomente a última linha também...

Poste os resultados.

Att

[jeorgio]

Bom dia Max , depois de muita pesquisa e testes com dicas, eu consegui fazer o bloqueio no meu BFW 3.58, colocando a seguinte regra no script de inicialização :

#Bloqueando o Sites pelo nome

iptables -t mangle -A PREROUTING -s 1.1.1.0/24 -p tcp -m string --algo kmp --string "facebook.com" -j DROP

obs.: esse bloqueio é feito pelo iptabes usando a tabela mangle que verifica os cabeçalhos dos pacotes no caso aqui é o facebook.com, mas voce também pode bloquear
qualquer outro usando a mesma regra e mudando apenas o cabeçalho. ex.: se quiser bloquear o twitter, basta por cabeçalho do site entre ( " " )

e se quiser por algum ip como exceção a regra, no caso o seu hehhe, baster usar esse script :

#Ips Liberado FACEBOOK

iptables -t mangle -A PREROUTING -s 1.1.1.5 -p tcp -m string --algo kmp --string "facebook.com" -j ACCEPT

ou seja apenas o ip inicado acima vai poder acessar o facebook.

Aqui comigo ficou 100% funcional, teste ai e avise se deu certo.
Um abraço e conte comigo.

[Klonoa331]

Testei as duas maneiras ditas pelo jeorgio e o carlos_silvasantos . Nenhuma das duas funcionou aqui, isso é meio frustrante comeco a desconfiar algumas vezes que o problema é na onde eu estou colocando os comandos do IPTABLE.

Vou aproveitar e deixar o caminho que faco para inseri-los
Configuracao Avancada do Firewall > Editar Regras Personalizadas

Obrigado a ajuda.

[carlos_silvasantos]

Bom dia,

Pois é meu amigo,

Você falhou e eu também...

Vou explicar:

Primeiro, a regra do nosso amigo Jeorgio não é 100% eficaz,,,, Tem vários relatos no Fórum, até um tópico há bem pouco tempo relatando isso. Inclusive eu testei e vi que realmente a regra que ele colocou tem problemas quando o usuário usa o Firefox.... Se o usuário for persistente e ficar atualizando o Firefox a regra vai ser burlada...

Segundo, a regra que coloquei para você é 100% funcional....Amplamente testada no Fórum... Pelo menos até o dia e a hora que postei essa mensagem....

O que pode estar acontecendo...

Porque falei que você e eu erramos? Por que eu não perguntei a sua versão...

Pelas explicação que deu agora percebi que sua versão é a 2x e não 3x.... Aquele comando que coloquei eu coloco no arquivo rc.local na versão 3.0.257....100% funcional

Outro detalhe: no brazilfw 2x funciona o controle por string? algo kmp ou algo bm.... você tem que ver isso, se o módulo de string está ativado no iptables...

Abraços

[Klonoa331]

Temporariamente achei outra solucao porem mais trabalhosa para solucionar meu problema enquanto nao descubro pelo IPTables.

Dentro da pasta C:\Windows\System32\drivers\etc existe um arquivo chamado "hosts" e nele no fim do documento coloquei a configuracao da seguinte maneira.

127.0.0.1 www.facebook.com
127.0.0.1 facebook.com
127.0.0.1 https://www.facebook.com
127.0.0.1 https://facebook.com
127.0.0.1 pt-br.facebook.com

E agora quando os usuarios tentam acessar o facebook eles sao redirecionados para a maquina deles mesmo. Unico problema e que desta maneira tenho que fazer de computador em computador essa configuracao.

Outra coisa, carlos quando voce pergunto.

Outro detalhe: no brazilfw 2x funciona o controle por string? algo kmp ou algo bm.... você tem que ver isso, se o módulo de string está ativado no iptables...

eu nao vou saber te responder sou iniciante nesse negocio de BFW. tenho um bom tempo de uso mas admito que nunca parei pra fucar bem no fundo do BFW e descobrir todos os massetes, apenas corria atras do que me era necessidade na hora. =\

[carlos_silvasantos]

Temporariamente achei outra solucao porem mais trabalhosa para solucionar meu problema enquanto nao descubro pelo IPTables.

Dentro da pasta C:\Windows\System32\drivers\etc existe um arquivo chamado "hosts" e nele no fim do documento coloquei a configuracao da seguinte maneira.

127.0.0.1 www.facebook.com
127.0.0.1 facebook.com
127.0.0.1 https://www.facebook.com
127.0.0.1 https://facebook.com
127.0.0.1 pt-br.facebook.com

Boa noite,

Se você resolveu seu problema ótimo! Mas infelizmente você sabe que a solução acima não é 100% confiável e além de ser trabalhosa demais. Além do que você ter um firewall e não usá-lo é desperdício.... Mas tudo bem...

Att

[Eduardo]

Topico movido para BFW2.
Caro autor, mais atenção ao postar, não saber a versão do seu BFW é inadmissível.

[Klonoa331]

Me desculpe postar no local errado. Jurava que havia postado na sessao do BFW 2.X.


carlos, essa é uma solucao temporaria, ja estou pensando em migrar para a versao 3.X. como voce havia dito que a solucao que voce apresentou funciona perfeitamente no 3.x talvez seja interessante a mudanca do meu sistema.

[Lelouch]

Pra o Bfw3 (<=258) ja vai ser disponibilizado uma soluçao pra isso, tem lista branca, lista negra e lista pra usuarios friend/foe.

Abraços,



Zero

[Paulo2]

Temporariamente achei outra solucao porem mais trabalhosa para solucionar meu problema enquanto nao descubro pelo IPTables.

Dentro da pasta C:\Windows\System32\drivers\etc existe um arquivo chamado "hosts" e nele no fim do documento coloquei a configuracao da seguinte maneira.

127.0.0.1 www.facebook.com
127.0.0.1 facebook.com
127.0.0.1 https://www.facebook.com
127.0.0.1 https://facebook.com
127.0.0.1 pt-br.facebook.com

E agora quando os usuarios tentam acessar o facebook eles sao redirecionados para a maquina deles mesmo. Unico problema e que desta maneira tenho que fazer de computador em computador essa configuracao.

Essa configuração vc pode fazer no BFW 2.x no arquivo de hosts, mas infelizmente o https acho que não bloqueia.
Outra maneira é bloquear no arquivo de configuração do dnsmasq, mas de novo o https passa.

Achei uma coisa interessante pesquisando no Google sobre as faixas de ip que o facebook usa
https://developers.facebook.com/docs/ApplicationSecurity/
no final da página tem um método de como conseguir os ips

Código: Selecionar todos

whois -h whois.radb.net -- '-i origin AS32934' | grep ^route

filtrando mais um pouco a gente consegue a lista do que parecem ser os ips onde o facebook atende chamadas

Código: Selecionar todos

whois -h whois.radb.net -- '-i origin AS32934' | grep ^route | sed '/^route6/ d; s/route: *//' > /partiion/ips-facebook

Depois é incluir os ips no iptables. Teste aí pra ver se funciona testei aqui e por enquanto bloqueia

Código: Selecionar todos

while read ip_fb;do iptables -I access-acl -p tcp -d $ip_fb --dport 443 -j DROP;done < /partition/ips-facebook

Se alguém conseguir acessar o facebook, pode ser algum ip novo, então tem que pegar uma lista nova no whois.

[Lenobare]

Me tirem uma dúvida..
bloquear redes sociais por "strings" não deixa a internet geral da empresa mais lenta? Esta busca por nome, e depois o bloqueio não deixa uma sensação de lentidão na banda da internet?

Solução por bloqueio dos DNS me parece mais satisfatório... ou estou enganado?

[Paulo2]

Parece que exige mais da cpu. Dependendo do número de regras no iptables, processamento no qos,
Dansguardian, etc, se a máquina do BFW não aguentar (ou mesmo aguentando), acho que uma consequência pode ser sim lentidão.

Pelo que entendi desse artigo, o cara diz que match string é praticamente um força bruta.
Ele mostra como reduzir o trabalho da pesquisa. Só li, não testei nada
http://spamcleaner.org/en/misc/w00tw00t.html

O iptables do BFW 2.x não tem o match string.

Eu testei bloqueando na lista negra do Squid e também como palavra proibida,
mas como esperado bloqueou só o http://www.facebook.com , é só o sujeito botar https que acessa na boa.
Testei no dnsmasq e no arquivo de hosts do BFW e aconteceu a mesma coisa. Posso ter feito errado o bloqueio
pra https, mas nesse caso não sei como deve ser declarado o endereço.

[Klonoa331]

Obrigado Paulo2, dei uma fucada no que voce postou aqui, com certeza diminuindo o acesso por IPS ajuda muito, mas ainda assim existe o acesso por HTTPS que so traz dor de cabeca.

Acho que o definitivo seria o IPTables, mas nao consigo fazer funcionar.

Ainda to dando uma estudada de novo em IPTables e ver se eu descubro oque esta errado.

[Klonoa331]

Venho trazer uma noticia muito positiva pelo menos pra mim e gostaria de agradecer o Paulo2 por conseguir a lista de IPs do Facebook.

Fiz a seguinte configuracao no meu BFW 2.X e funcionou e nao ta acessando nem pelo HTTPS e nem pelo HTTP.
Acessem o Website do seu BFW e depois acessem o menu, Configuração Avançada do Firewall e depois cliquem na opcao logo abaixo, Editar Arquivo de Configuração, na janela para inserir os codigos e linhas de comando eu acrescentei as seguintes linhas no final do documento.

Código: Selecionar todos

access Y deny all any 31.13.24.0/21 all 443 #Facebook 1
access Y deny all any 31.13.64.0/18 all 443 #Facebook 2
access Y deny all any 66.220.144.0/20 all 443 #Facebook 3
access Y deny all any 69.63.176.0/20 all 443 #Facebook 4
access Y deny all any 69.171.224.0/19 all 443 #Facebook 5
access Y deny all any 74.119.76.0/22 all 443 #Facebook 6
access Y deny all any 103.4.96.0/22 all 443 #Facebook 7
access Y deny all any 173.252.64.0/18 all 443 #Facebook 8
access Y deny all any 204.15.20.0/22 all 443 #Facebook 9

Apos isso, salvei, recarreguei e PRONTO. Esta bloqueado em todos navegadores nao consigo acessar tanto por HTTP quanto por HTTPS. Por quanto tempo vai durar, ai ja e outra pergunta.