Netgate SG-1000 microFirewall

Author Topic: Como Bloquear https (facebook.com y otros)  (Read 42283 times)

0 Members and 1 Guest are viewing this topic.

Offline mellomx

  • Jr. Member
  • **
  • Posts: 61
  • Karma: +0/-0
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #15 on: March 13, 2014, 01:05:47 pm »
como dices
Quote
Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

tienes razon la tecnologia movil nos alcanzo totalmente y pus como dijo para ser gratis no hay k pedirle tanto a la vida!

y como tu por fin tome el control de mi red pronto hare unas redacciones de mi experiencia para que le sirvan a usuarios :) Saludos a todos.

Offline mellomx

  • Jr. Member
  • **
  • Posts: 61
  • Karma: +0/-0
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #16 on: March 18, 2014, 12:16:29 am »
Amigo gus1185 como bloqueaste el youtube en capa 7 me podrias explicar porfavor

saludos

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5577
  • Karma: +126/-51
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #17 on: March 18, 2014, 01:31:45 am »
Si van por https tampoco podrás bloquear por capa 7, pues el patrón no es visible, al estar el tráfico encriptado.

Tienes que usar una solución man-in-the-middle para filtrar contenidos https. O bloquearlos por tipo de tráfico (https) y/o IP de destino.

Te sugiero squid3-devel para todo esto, https://forum.pfsense.org/index.php?topic=73689.0

Te estoy escribiendo en modo https pasando por squid3-devel de pfSense...

Offline amnarl

  • Sr. Member
  • ****
  • Posts: 549
  • Karma: +20/-29
  • Ser sabio no es saberlo todo.....
    • View Profile
    • Redsoporte//Online
Re: Como Bloquear https (facebook.com y otros)
« Reply #18 on: March 24, 2014, 04:26:31 pm »
Saludos mis estimados, coincido con el amigo periko la mejor manera de trabajar bloqueos necesarios en una red de servicios es usar squid este te dara las herramientas para hacer bloqueos como desees sabiendo crear las acls necesarias. Bloqueo por palabras, url, horarios, usuarios, etc . Estamos a la orden
Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

Offline ardax

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #19 on: March 31, 2016, 08:47:37 am »
Chicos, he leido todos los post del foro, acerca de bloqueos.

Llevo mas de una semana haciendo todo lo que he leido y no logro bloquear facebook.
Tengo reglas, alias. blacklist, y nada de nada.

Alguien podria ayudarme por favor?

Saludos desde Chile

Offline denis9512013

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #20 on: April 02, 2016, 02:04:29 pm »
puedes bloquear facebook con dns resolver o dns forwared.. ->domain overrides colocas el dominio (Facebook) y en  la ip pones una ip falsa..

Offline juancho

  • Full Member
  • ***
  • Posts: 244
  • Karma: +4/-1
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #21 on: April 02, 2016, 06:33:29 pm »
los portatiles personales que si deben tener acceso total tenian k configurar proxy y cuando salian de la empresa no tenian internet

Esto se puede solucionar si el descubrimiento automático de proxy funciona (explicado arriba, en Documentación) o mediante archivo proxy.pac de configuración automática.

Esto si funciona, yo lo tengo funcionando en la empresa hace como 2 años, lo configure po DCP y DNS ya que algunos sistemas toman por dhcp y otros por dns.. hay que destacar que los dns son internos. la verdad me quite ese dolor de cabeza de facebook y youtube
--
Juan Carlos Reyes
Powered by Debian
o
L_/
OL

Offline juancho

  • Full Member
  • ***
  • Posts: 244
  • Karma: +4/-1
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #22 on: April 02, 2016, 06:35:18 pm »
he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona
--
Juan Carlos Reyes
Powered by Debian
o
L_/
OL

Offline cbd

  • Newbie
  • *
  • Posts: 20
  • Karma: +0/-0
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #23 on: April 08, 2016, 03:39:05 pm »
he seguido este tutorial (http://www.eduardojonck.com/index.php?action=artikel&cat=6&id=30&artlang=pt-br), que parece muy completo y justo para mi versión de PFSense, pero le da igual, se lo salta.
Ya no sé lo que hacer, he probado desde varios PC's y nada, tengo puesto en la blacklist a youtube y facebook, por ejemplo, y ni puto caso.
Lo que no puedo permitirme es poner el servidor proxy en cada PC cliente, lo debe detectar automáticamente , ya no sé que hacer, ni sé las horas que le he echado a esto y sigue sin funcionar...
Decir que quiero bloqeuar a los PC's conectados por OpenVPN.

   Veo muchos casos donde desean atacar el problema de como controlar, FB, YouT, Tw, etc.

   La manera mas sencilla es squid, Modo Transparente, no Transparente.

   En mi poca experiencia, la diferencia del modo transparente es la facilidad de no tener que hacer nada y que el fw intercepte toda la comunicacion 80/443 y filtrarla sobre squid.

   Lo que hace el modo no transparente es que no tiene esa automatizacion, uno lo hace con simples reglas en el fw y al final es lo que hace el modo Transparente, el sistema lo hace por nosotros, es toda la diferencia.

   Tiempo atras asi se hacia en las versiones 2.0 y anteriores.

   Ahora, una vez hecho esto, necesitamos que el usuario no se de cuenta de esto, es la diferencia del mono transparente, pero del otro lado esta wpad, se ha hablado mucho de el aqui, hay post por todos lados.

   con Firefox, Iexplore, Safari, Chrome, excepto opera me ha funcionado, la doc en ingles no es nada compleja, con solo ver las imagenes se entiende.

   Un tip que les recomiendo es, antes de probar, correr ccleaner y borrar todo los temporales de sus navegadores, ya que ellos tambien manejan cosas temporales.

  Y claro al final, yo he tomando el control de mi red y bloqueado fb,yt sin problemas.

  Como nota, el problema aparece con los moviles, smartphones, muchos carecen de las opciones para ingresar los parametros del proxy o no tienen la habilidad para buscar wpad, y no es problema de pfsense u otro fw, es problema de la falta de sentido comun de los creadores en no pensar que estas funciones pueden servirles en algun momento.

   Mis 2 centavos, saludos.
he leido los enlace acerca de WPAD pero la verdad no logro entenderlo para hacerlo ya que todos van directo a la configuracion no hay uno detallado de como krear paso a paso todo lamentablmente por falta de documentacion en español no utilizo esto aunk la verdad esto seria muy buena solucion a ese problema :(

Pues te comento que si funciona con WPAD, otra forma es hacer dns override y mandar los dominios que se quiera a localhost.. tambien funciona

Offline juancho

  • Full Member
  • ***
  • Posts: 244
  • Karma: +4/-1
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #24 on: April 11, 2016, 08:05:11 pm »
Asi configuré  WPAD hace dos años aproximadamente.

1) Cree los archivos wpad, wpad.dat, wpad.da, proxy.pac ya que son los tipos de archivos que usan los diferentes navegadores ( segun lo investigado en su momento). El archivo contiene esto

Code: [Select]
function FindProxyForURL(url, host) {
   if shExpMatch(host, ".xxxx.xxxx.xxx"))
    return "DIRECT";
 ##########################################BANCOS########################
 if (dnsDomainIs(host, "*.banvenez.com"))
    return "DIRECT";
if (dnsDomainIs(host, "e-bdvcpx.banvenez.com"))
    return "DIRECT";
if (dnsDomainIs(host, "e-bdv.banvenez.com"))
    return "DIRECT";

##########################################REDES #####################
  if (shExpMatch(url, "*127.0.0*") || shExpMatch(host, "*localhost*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.100*")|| shExpMatch(url, "https://172.31.100.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.104*")|| shExpMatch(url, "https://172.31.104.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.108*")|| shExpMatch(url, "https://172.31.108.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.112*")|| shExpMatch(url, "https://172.31.112.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.116*")|| shExpMatch(url, "https://172.31.116.*"))
    return "DIRECT";
  if (shExpMatch(url, "http://172.31.88*")|| shExpMatch(url, "https://172.31.88.*"))
    return "DIRECT";
 if(isInNet(host, "172.31.88.0", "255.255.252.0"))
    return "DIRECT";
  else
##################################### Redireccion al Proxy############################
    return "PROXY 192.168.2.2:3128";
}
 

Basicamente los 3 archivos contienen lo mismo, hace mucho que no toco estos archivos, se que se pueden personalizar mucho y es aqui donde se crean las politicas...return "DIRECT";  indica que no sea cacheado lo que aparece dentro de los condicionales. Estos archivos los coloqué en un servidor web dentro de la red, que mas adelante usaremos .



Nota: Utilizar permiso 777 es de mucho riesgo,  aca lo hice por pruebas y nunca lo cambié. No es la mejor practica.

2) Resulta que se puede usar WPAD de dos formas por DHCP y por DNS...


2.1) por DHCP quedaria como en la imagen
http://postimg.org/image/nyqrp619f/][img=http://s21.postimg.org/nyqrp619f/Captura_de_pantalla_2016_04_11_20_04_21.jpg
2.2) por DNS quedaría

http://postimg.org/image/wkg7t6fpl/][img=http://s28.postimg.org/wkg7t6fpl/Captura_de_pantalla_2016_04_11_20_06_24_2.jpg
Para esta forma hay que tener un dns configurado y trabajando bien..con las zonas y todo.
 
Hice muchas pruebas en su momento y al final terminé dejando las dos formas, que hasta ahora funciona.


Luego es configurar la opción de detección automática en cada navegador.
« Last Edit: April 11, 2016, 08:33:55 pm by juancho »
--
Juan Carlos Reyes
Powered by Debian
o
L_/
OL

Offline callezulia

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #25 on: December 13, 2017, 08:22:51 am »
Alguna manera de limitar facebook en un horario determinado. Por ejemplo, quiero que este bloqueado desde 8am a 8pm.

Otra opcion es que el facebook se conecte a baja velocidad...

En espera - Gracias

Offline shadow25

  • Jr. Member
  • **
  • Posts: 36
  • Karma: +3/-0
    • View Profile
Re: Como Bloquear https (facebook.com y otros)
« Reply #26 on: December 14, 2017, 06:59:02 pm »
Hola. Con respecto a las técnicas de bloqueo de las redes sociales te dejo un link interesante publicado oficialmente por Netgate.
https://www.netgate.com/blog/application-detection-on-pfsense-software.html

Para el tema de los "horarios" podrias utilizar reglas de "pass" / "block" asociadas a los "schedules". Tengo implementado un esquema de horarios con diferente perfiles de "limiteres" y funcionan correctamente.

Saludos