[Ajuda] Bloqueio definitivo do Facebook - Proxy Não Transparente

[Luizx]

[quote="marceloleaes"]
Drop a 80 e a 443 e na estação marque proxy para todos os protocolos, assim toda e qualquer solicitação será redirecionada pra o proxy.

Certifique-se de que o contentfilter liberando e bloqueando os acessos esteja corretamente vinculado ao grupo certo
[/quote]

Marcelo,

Isso eu consigo fazer, a questão é mais nos computadores que entram na rede e que estão com o DHCP Ativado e sem Proxy. No caso de um notebook do diretor por exemplo, onde mesmo usa na empresa e em casa, porém o mesmo não está no domínio da empresa e não pretende ter o proxy setado, pois o mesmo pode está em casa, na empresa ou em viagem.

[marceloleaes]

Se o diretor não tem bloqueios, libere o MAC dele na saida nas portas 80 e 443, a regra deve ficar acima da de DROP.

Mesmo fora do dominio é possivel autenticar o usuário se ele informar uma credencial válida do AD. Para alternar configurações de proxy estando na empresa ou não temos uma aplicação chamada Proxy Switcher aqui no forum.

Alternativas existem aos montes, o que não pode deixar é a porta 443 aberta, isto deixa um baita furo no controle de acessos.

[felipeqga]

Aqui está a LISTA do orgao emissor e controle dos IPS do facebook.
IP v4
http://bgp.he.net/AS32934#_prefixes
Ip v6
http://bgp.he.net/AS32934#_prefixes6
e se faltar algum procure geral: por facebook
* tem todos por lá

http://bgp.he.net/search?search%5Bsearc ... mit=Search

Coloco os Ips e mando negar TUDO para eles.  Ja era.
* esta funcionando. fico indo la atualizar os ips de periodo em periodo TUDO BLOQUEADO.

[felipeqga]

Olá amigos, andei procurando por ai..
verificando que as as configs do firewall estao aqui:

/var/efw/outgoing/config

e que se eu digitar no terminal:

whois -h whois.radb.net '!gAS32934' | tr " " "\n" | sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4

recebo uma lista:
sh-3.2# whois -h whois.radb.net '!gAS32934' | tr " " "\n" | sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4
A953
C
31.13.24.0/21
31.13.64.0/18
.....
todos os IPs deste sistema autonomo(AS32934) que é do facebook
DESAFIO:

criar-se uma lista que pode ser inserida via Script e automatizar para sempre está bloqueando de forma automatica via Cron.

Passos:
1) remover os caracteres invalidos que o commando gera. EX: tipo esses dois: A953 C
2) adicionar de forma automatica o texto capturado com o whois e inserir no /var/efw/outgoing/config da forma que oEndianFireWall Consiga interpretar.
tipo: ele adiciona "&" depois de cada endereço

Beleza?

[felipeqga]

Pronto galera.. fiz OH:

Código: Selecionar todos

whois -h whois.radb.net -- '-i origin AS32934' | grep ^route |  awk ' { print $2 } ' | sort | tr "\n" " "| awk '{$1=$1}1' OFS="&"

Lista assim do Jeito do Endian:

Código: Selecionar todos

103.4.96.0/22&173.252.64.0/18&173.252.64.0/19&173.252.70.0/24&173.252.96.0/19&204.15.20.0/22&204.15.20.0/22&2401:DB00::/32&2620:0:1c00::/40&2620:0:1cff::/48&2a03:2880::/32&2a03:2880:f000::/48&2a03:2880:f001::/48&2a03:2880:f002::/48&2a03:2880:f003::/48&2a03:2880:f004::/48&2a03:2880:f005::/48&2a03:2880:f006::/48&2a03:2880:f007::/48&2a03:2880:f008::/48&2a03:2880:f009::/48&2a03:2880:f00a::/48&2a03:2880:f00b::/48&2a03:2880:f00c::/48&2a03:2880:f00d::/48&2a03:2880:f00e::/48&2a03:2880:f00f::/48&2a03:2880:f010::/48&2a03:2880:f011::/48&2a03:2880:f012::/48&2a03:2880:f013::/48&2a03:2880:f014::/48&2a03:2880:f015::/48&2a03:2880:f016::/48&2a03:2880:f017::/48&2a03:2880:f018::/48&2a03:2880:f019::/48&2a03:2880:f01a::/48&2a03:2880:f01b::/48&2a03:2880:f01c::/48&2a03:2880:f01d::/48&2a03:2880:f01e::/48&2a03:2880:f01f::/48&2a03:2880:fffe::/48&2a03:2880:ffff::/48&31.13.24.0/21&31.13.64.0/18&31.13.64.0/19&31.13.64.0/24&31.13.65.0/24&31.13.66.0/24&31.13.67.0/24&31.13.68.0/24&31.13.69.0/24&31.13.70.0/24&31.13.71.0/24&31.13.72.0/24&31.13.73.0/24&31.13.74.0/24&31.13.75.0/24&31.13.76.0/24&31.13.77.0/24&31.13.78.0/24&31.13.79.0/24&31.13.80.0/24&31.13.81.0/24&31.13.82.0/24&31.13.83.0/24&31.13.84.0/24&31.13.85.0/24&31.13.86.0/24&31.13.87.0/24&31.13.88.0/24&31.13.89.0/24&31.13.90.0/24&31.13.91.0/24&31.13.92.0/24&31.13.93.0/24&31.13.94.0/24&31.13.95.0/24&31.13.96.0/19&66.220.144.0/20&66.220.144.0/20&66.220.144.0/21&66.220.152.0/21&66.220.159.0/24&69.171.224.0/19&69.171.224.0/20&69.171.239.0/24&69.171.240.0/20&69.171.253.0/24&69.171.255.0/24&69.63.176.0/20&69.63.176.0/20&69.63.176.0/20&69.63.176.0/21&69.63.176.0/21&69.63.176.0/24&69.63.178.0/24&69.63.184.0/21&69.63.184.0/21&69.63.186.0/24&74.119.76.0/22

[Elton]

não entendi seu script pode explicar man

[felipeqga]

Ola Elton e amigos,
Esse script ainda nao está feito se ver as postagens anteriores estou aqui REUNINDO forças para montarmos um scritpt que automatiza o bloqueio do FACEBOOK pegando os IPS direto da base(www.radb.net ).

PEGANDO a ideia deste post:
http://itbr.org/forum/video-aula-e-tuto ... r-horario/

entao ja começei a fazer um pouco:

Código: Selecionar todos

whois -h whois.radb.net -- '-i origin AS32934' | grep ^route |  awk ' { print $2 } ' | sort | tr "\n" " "| awk '{$1=$1}1' OFS="&"

este comando PRODUZ o padrao de "IP + &"  que é o padrao do arquivo de configuracao de firewall do endian (/var/efw/outgoing/config) quando se coloca multiplos IPs que vao ser Bloqueados no caso os do FACEBOOK.

FALTA fazer:
1) Inserir na Linha certa os IPs , se ja existe apagar e colocar na linha certa e tal.. essa coisas.

#-------
Entao galera convido voces a concluir este script, falta pouco.

[Elton]

entendi man legal em script ainda estou aprendendo tu manja muito kkk vou estudar e ajudar... pelo que eu entendi tu jah vai puxar da base os ips é isso!

[felipeqga]

Exato.. isso mesmo. Ai fica sempre atualizado.

[Luis Robles]

Não faça problemas, os IPs podem variar, portanto na minha fechadura domínio caso.

Algo prático, Firewall desativar a porta 80 e 443, como é o caso de acordo com as fotos.

Em Proxy criar um filtro de conteúdo, em seguida, a opção personalizada e escrever facebook.com Blacklist e outras páginas que você deseja bloquear e salvar.

No mesmo Proxy cria uma regra de acesso, como tipo de fonte política de controle que por ip ou mac, dependendo de como você quer -> qualquer tipo de destino -> Permitir Política de Acesso -> Filtro perfil selecionado o filtro de conteúdo que você criou (nome) e salvar.

Define o proxy nos clientes e cheques. 

IPs pode variar, mas o domínio. A menos que você quiser chamar facebook Open Source 

[felipeqga]

Exato Luis Robles, concordo.

Este site (http://bgp.he.net/AS32934 / www.radb.net...AS32934  ) que no qual o sistema Autonomo do facebook é AS32934 , terá OBRIGATORIAMENTE todos os IPS pertecentes ao facebbok, ele poderá variar mil vezes e o script sempre o atualizará de forma automatica e 100% eficaz, pois capta da origem mantenedora/proprietaria dos endereços. (Mantenedor deste sistema autonomo)


Imagina ai voce em um ambiente DINAMICO de pcs, tablets, e smartfones, passará o dia cadastrando MAC/IP.

LOGO:
Cada caso um caso
Cada necessidade um solução.

Ficou ai entao varias dicas para as pessoas implementarem as que quiserem.


Parabéns.

[felipeqga]

E ai galera? cade voces? vamos continuar?

Aqui oh:

Código: Selecionar todos

whois -h whois.radb.net -- '-i origin AS32934' | grep ^route |  awk ' { print $2 } ' | sort | tr "\n" " "| awk '{$1=$1}1' OFS="&"

este comando PRODUZ o padrao de "IP + &"  que é o padrao do arquivo de configuracao de firewall do endian (/var/efw/outgoing/config) quando se coloca multiplos IPs que vao ser Bloqueados no caso os do FACEBOOK.

FALTA fazer:
1) Inserir na Linha certa os IPs , se ja existe apagar e colocar na linha certa e tal.. essa coisas.

Vejam a imagem:



o arquivo do ENDIAN: (/var/efw/outgoing/config):

on,,,  IPS FACE BOOK ,,REJECT,,BLOCKFACEBOOK_GERAL,,GREEN,
entao:
devemos fazer um script que SUBSTITUIA:

on,,,  $AQUI ,,REJECT,,BLOCKFACEBOOK_GERAL,,GREEN,

este aqui pega os IPS e coloca no formato do Arquivo que é IP + &

Código: Selecionar todos

whois -h whois.radb.net -- '-i origin AS32934' | grep ^route |  awk ' { print $2 } ' | sort | tr "\n" " "| awk '{$1=$1}1' OFS="&"

precisamos de um que busque a linha tal e substiuia isso ai.


Vamos la?

[christian.ruas]

Kra tive esse problema aqui e resolvi temporariamente da seguinte maneira, mas no meu caso tenho uma maquina como firewall e outra como proxy nao transparente, todos os acesso passam pelo proxy, nas configurações do proxy no item "portas permitidas e portas ssl" eu eliminei o acesso a qualquer site via https, ai vem o segredo na GPO eu coloquei nas exceções do IE os sites que precisam ser acessados e que sao https, dessa maneira esses acesso aos sites nao passam pelo proxy e como nao tenho regra especifica no firewall para esse bloqueio o acesso passa normalmente.

[angytek]

No meu caso resolvi adicionando no proxy > DNS > Roteamento DNS, regras para quando o usuário tentar determinados domínios são direcionados para servidores DNS inexistentes, a pagina tenta carregar e falha.

[dougsky]

[quote="angytek"]
No meu caso resolvi adicionando no proxy > DNS > Roteamento DNS, regras para quando o usuário tentar determinados domínios são direcionados para servidores DNS inexistentes, a pagina tenta carregar e falha.
[/quote]

e se precisar liberar para algum usuário?