Bloquear facebook con las reglas del firewall de ipcop

Bloquear facebook con las reglas del firewall de ipcop no es complicado, si acaso será un poco laborioso dar de alta las direcciones IP y las direcciones mac de los futuros desterrados.

A los administradores de redes no es que nos guste bloquear facebook, muchas veces nos piden que lo hagamos porque hay que reconocer que existen personas que invierten más tiempo en la red social que haciendo sus labores.  Es el eterno distractor en el que muchas veces no esta justificado su uso.

Facebook el gran distractor

Si el usuario tiene Facebook en su celular gracias a un plan de datos, esa es otra historia y quizás haya que ajustar las políticas de la empresa al respecto.  Lo cierto es que sobre todo las mujeres están muy enganchadas a Facebook y harán hasta lo imposible para no perder detalle de los chismes y novedades de sus amigas (es una realidad no se hagan).

HTTPS es el problema.

El problema es que ahora se accesa a Facebook usando el protocolo HTTPS que es un enlace seguro, y este tipo de tráfico no es procesado por Squid y por lo tanto no puede ser filtrado con Filtro URL (squidGuard) que tiene instalado IPCop.

Entonces lo que sigue es bloquear todo el tráfico que tenga como destino los servidores de facebook no importando si utilizan HTTP o HTTPS.

También podría “envenenar” el DNS de IPCop para que respondiera con un sitio equivocado cada vez que un equipo quisiera saber la dirección IP del dominio de Facebook, pero no podría ser selectivo con este engaño y toda mi red estaría comprometida, además no falta el usuario vivo que ponga sus propios DNS en su equipo, no sabrán imprimir pero que tal brincarse las restricciones 🙂 .

Averiguar las direcciones IP de Facebook

Para bloquear Facebook primero tenemos que averiguar las direcciones IP de destino del dominio. Intenté hacerlo con el dominio pero IPCop me marca un error al intentar dar de alta las direcciones.

Encontré 3 direcciones, dos usando la herramienta nslookup y una más por casualidad haciendo ping a facebook.com

direcciones ip del dominio de facebook
Buscando las direcciones ip de facebook
  • usando ping → 31.13.69.197
  • facebook.com → 173.252.74.22
  • www.facebook.com  → 31.13.66.1

Dar de alta las direcciones

Con esta información ya es posible empezar a trabajar en las reglas del firewall. Primero hay que ir al menú de Firewall de IPCop en donde dice Direcciones y se dan de alta una por una las direcciones que encontramos de Facebook.

agregar una dirección ip de facebook
Agregando una dirección ip de Facebook

Revisen en sus localidades porque las direcciones que obtengan ustedes pueden ser diferentes a las mías o cambiar con el tiempo.

De manera similar damos de alta las direcciones MAC de los condenados al destierro social, prefiero usar las direcciones MAC porque las direcciones IP pueden cambiar en el servidor DHCP pero las MAC son las mismas.

Agregando una dirección MAC de un equipo a bloquear
Agregando una dirección MAC de un equipo a bloquear

Crear dos grupos de direcciones.

Ahora se van a crear dos grupos en el menú FirewallGrupos de direcciones.  Uno de ellos contendrá las direcciones IP del dominio de Facebook y otro será el grupo de direcciones MAC de los equipos bloqueados. Al primero le puse facebook y al segundo facebook bloq. Pero supongo que ustedes pueden elegir mejores nombres 🙂 .

agregando direcciones al grupo de facebook
Agregando direcciones al grupo de facebook

En este punto los elementos de cada grupo de direcciones se pueden ver en la parte inferior de la página.

Agregar una regla en el firewall

A estas alturas ya solo nos falta agregar una regla en el firewall. Tenemos nuestros tráfico de origen, el grupo facebook bloq y el destino de este tráfico que es el grupo facebook.

Vamos al menú Firewall  – Reglas del Firewall y presionamos el botón que dice Tráfico saliente.

Más o menos debe de quedar como muestra la imagen.

Bloquear facebook firewall ipcop

En este caso el orden de las reglas si afecta el resultado, así que es posible que para activar el bloqueo sea necesario subir la regla para que se aplique antes que las que siguen.

asi aparece listada la regla en el firewall
Así aparece en el listado de reglas.

Conclusiones

Si todo se hizo de la manera correcta verán que es imposible abrir el sitio de facebook en los equipos que aparecen en el listado de los bloqueados.

Bloqueo listo y funcionando.
Bloqueo listo y funcionando.

La administración de la regla de bloqueo se simplifica mucho, porque para agregar un equipo a la lista basta con agregar una dirección MAC y agregarla al grupo de bloqueados. Del mismo modo, si llegara a aparecer una nueva dirección de Facebook, basta con agregarla a las demás para que funcione nuevamente.

El mismo principio se puede aplicar a otros sitios, tengo a Youtube en la mira, sin temor a equivocarme es el responsable de una gran cantidad de tráfico en mi red.

BOFH Forever !!!

17 comentarios en “Bloquear facebook con las reglas del firewall de ipcop”

  1. Como siempre muy buena información.

    El siguiente comentario lo hago en referencia a lo que dices de bloquear por MAC y no por IP. Estoy 100% de acuerdo contigo y de esto tengo la siguente referencia.

    Hace unos meses con un cliente se les hizo lento el inernet, al grado de que ya no se podian ver sus camaras atravez de internet. Al checar me di cuena que tenia como unos 20 usuarios conectados, haciendo cunetas con los dispositivos del negocio, dueño y familia eran 8 usuarios. Me di a la tarea de blokear desde el router (uso un tp-link TD-W8968, recomiendo para quienes se conectan con ADSL, osease Telmex en Mexico), y asunto solucionado, su navegacion mejor con esta accion. Pocas semanas despues regrese por otros asunto, recorde lo de los intrusos y de por no dejar le di otra checada…. Pues no me an a creer que uno de los que le robaba el inernet se compro ora tarjeta de red para poder robar el inernet… WTF!!!! obvio lo bloque…. pero!!!!! dos dias despues ya tenia otra tarjeta de red!!!! doble WTF!!!!! obvio lo bloque una vez mas, pero bueno creo que con el coso de las tarjetas que compro bien los pudo emplear para pagar uno o dos meses de internet.

    osea, la conclusion es que se confirma lo que bien comentas “No saben mandar a imprimir, pero…..”

    Gracias por este genial Articulo, yo uso un balanceador de cargas TL-ER604W de tp-link, y aun que en mi caso particular no lo uso pero incorpora un firewall que te permie bloquear aplicaciones com facebook en celulares o direcamente las paginas, tambien lo recomiendo apliamene.

    SALUDOS.

    1. Hola Antonio, pues si, así se las gastan mis usuarios.

      El problema conmigo es que deben de tener internet, pues por los correos y esas cosas, pero no facebook y limitar ese contenido se estaba volviendo muy engorroso y cosa curiosa, al igual que tu noté un mejor desempeño en el internet y es que la moda en facebook son los videitos.Yo tengo un ancho de banda muy limitado, así que estos bloqueos tiene un gran impacto.

      Saludos !!!

  2. Uhh!!! En la oficina olvidate del dia del amigo 😀 Increible la gente hasta cambia las placas para poder tener facebook!, se escucha cada cosa. Yo no puedo tirar la primera piedra, facebook no tengo y no me importa, pero youtube, piedad please… piedad. Sino como bajo los tutoriales en HD para verlos en casa. Espero que por acá no ande cerca el BOFH je, je Saludos.

  3. Pero tanto el facebook o el youtube manejan un rango de direcciones en linux no conoces alguna distro que bloquee por aplicaciones?

    1. Bueno, por eso di de alta un rango de direcciones. Por aplicaciones no conozco, es que tengo IPCop desde hace varios años y de momento no lo pienso cambiar pues porque no ha fallado 😛

  4. No me funcionó 🙁 Me marcó error al intentar agregar una regla: eror de servicios, tuve que seleccionar “ping”, pero no funcionó.

    1. Pues quisiera ayudarte Natalia,

      Pero no estoy seguro de que estás haciendo, supongo que el error te aparece al agregar la regla al firewall pero.. ¿ping? no se a que te refieres.

      ¿Tienes un screenshot? para darle un vistazo a lo que quieres aplicar.

      Saludos.

      1. Hola. Buenos días. Si tengo el screenshot pero no se como pegarlo en éste comentario 🙁 Te comento, el error que me muestra es cuando le doy clic en guardar, en la parte superior muestra : “Servicio no válido”, y creo que es porque no selecciono ningun servicio en la opción: “Usar servicio>>Predeterminar servicios:” Por esta razon seleccioné “Ping”. Gracias. Saludos!

  5. perdon pero en vez de bloquear a facebook youtube y otras https es posible regularlas (limitar su velocidad) , con delay_parameters por ejemplo?. no encuentro nada de esto, se que el ipcop 2 tiene squid 3 que tiene soporte de https pero no idea si el que viene con ipcop lo esta usando y como configurar esto. gracias.

  6. Tengo un problema. Facebook si lo puedo bloquear, pero al agregar las IPs de YOUTUBE me tumba la navegación,en el mejor de los casos abre otras paginas pero no puedo abrir google hace un par de minutos lei que es porque practicamente Youtube es de Google , es verdad? o tiene solución?

    Igual me gustaría darle acceso a ciertos equipos

    1. Lamentablemente tienes toda la razón, si haces un nslookup de Google y de Youtube te vas a dar cuenta de que ambos dominios prácticamente comparten las mismas direcciones IP. Por lo tanto bloquear a uno implica bloquear al otro.

      Ahora ¿Qué puedes hacer? bueno, tus usuarios bloqueados de Youtube pueden usar otro buscador como Bing, Yahoo, DuckDuckGo (¿Quién inventó ese nombre?). Se que la competencia esta a años luz de distancia del buscador principal, pero es eso o nada.

      ¿Les quieres dar permiso a ciertos equipos? pues adelante, empieza a hacer un grupo de Youtubelievers a los que si les vas a dar acceso a Youtube (y a google), solo revisa el orden de aplicación de las reglas. Sería algo así como, una regla para bloquearlos a todos y otra para darle chance a mis cuates.

      Creo que existen otras formas, pero no son aplicables con ipCop, me han contado que pfSense tiene opciones mucho más avanzadas, si quieres darle un vistazo adelante !!!.

      Saludos.

¡Me encantaría saber que opinas!