Bloquear facebook con IPCop + iptables

Se que bloquear facebook no me hace el administrador de redes más popular, pero yo solo soy la mano ejecutora, no el que dicta la sentencia.

Bloquear facebook no es sencillo, algunos usan la estrategia de squid, otros usando iptables, creo que lo mejor es usar varias estrategias.

Bloqueo mediante el proxy (squidGuard).

El bloqueo de proxy se logra usando el addon URL Filter, en la configuración del addon marque varias categorías, incluyendo socialnet.

categoría socialnet en URL Filter

Con esto será más que suficiente para bloquear el dominio de facebook y disuadir a algunos usuarios.

Mensaje que muestra URL Filter cuando una dirección ha sido bloqueada.

Si la vida fuera sencilla, con esto sería más que suficiente, pero los facebuadictos encuentran la forma de brincarse este bloqueo. Y es que tampoco es muy díficil, con entrar usando el protocolo https es más que suficiente debido a que el proxy no funciona en conexiones seguras. Por eso es necesario poner en acción algunos bloqueos con iptables.

¿Qué dirección IP Bloquear?

Lo primero es averiguar que dirección IP esta usando facebook, para eso use el comando nslookup

nslookup facebook.com
Server: 127.0.0.1
 Address: 127.0.0.1#53
Non-authoritative answer:
 Name: facebook.com
 Address: 173.252.110.27

Ahi nos dice que la dirección es la 173.252.110.27, pero como esa no es la única que usa facebook, tendré que bloquear todo un rango de ips.

Modificar el archivo rc.firewall.local

IpCop es un poco sensible en cuanto a las configuraciones personalizadas, si no se hace en el archivo correcto, cualquier modificación que se haga desde la página de administración las eliminará.

Para agregar reglas personalizadas se edita el archivo /etc/rc.d/rc.firewall.local y agregar las líneas de bloqueo con iptables.

La regla es muy sencilla, sólo hay que saber la dirección ip del cliente que se quiere bloquear, ejemplo:

iptables -I FORWARD -s direccion.ip.del.sentenciado -p tcp -d 173.252.110.0/18 -j DROP

Si se fijan usamos la dirección IP que nos da el comando nslookup hasta la tercera cantidad, al final se agrega un cero y la máscara de red /18 para bloquear todo un rango de direcciones ip.

Llegó el momento de agregar esta regla justo después de donde dice ## add your ‘start’ rules here.

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
        
    # Los desterrados sociales.
    
    iptables -I FORWARD -s ip.del.sentenciado.1 -p tcp -d 173.252.110.0/18 -j DROP
    iptables -I FORWARD -s ip.del.sentenciado.2 -p tcp -d 173.252.110.0/18 -j DROP    
    iptables -I FORWARD -s ip.del.sentenciado.3 -p tcp -d 173.252.110.0/18 -j DROP        


        ;;
  stop)
        ## add your 'stop' rules here

        ;;
  reload)
        $0 stop
        $0 start
        ## add your 'reload' rules here
        ;;
  *)
        echo "Usage: $0 {start|stop|reload}"
        ;;
esac

Archivo: rc.firewall.local

De esa manera se aplicarán las reglas cada vez que se reinicie IPCop.

El resultado será el siguiente:

El resultado de bloquear facebook con iptables

Este consejo se puede aplicar a una gran variedad de sitios y firewalls basados en iptables, espero que les sea de utilidad.

BOFH Foreveeer !!!!

122 comentarios en “Bloquear facebook con IPCop + iptables”

  1. Hola, soy del Brazil, yo use:
    iptables -I FORWARD -p tcp –dport 443 -m string –string ‘facebook’ –algo bm -j DROP

    How open in lunch time???

    1. iptables -I FORWARD -p tcp –dport 443 -m string –string ‘facebook’ –algo bm -m time –timestart 13:00 –timestop 17:00 -j DROP

      Con esta ya lo puedes dejar abrir a la hora de almuerzo

  2. Hola, buenas tardes, como seria la sintaxis para que una ip si pueda accesar a facebook, tengo un equipo que es de uso de mercadotecnia y lleva el face de la empresa solo a esa ip quiero que tenga acceso al facebook

  3. tengo una pregunta, que he buscado por todos lados, tengo a cargo cierta cantidad de PC, las cuales algunos tienen restringido ciertas paginas a otras no, como puedo bloquear un determinado rango de mac address paginas como facebook y mega ?

  4. Que buen aporte Linuxman realmente logre bloquear facebook y youtube cosa que no podias. Aunque ahora esta de moda spotify me puedes ayudar para bloquear!!

  5. Oye pudistes bloquear todos eso?, mi duda es a todos aplicastes estas reglas o a ciertos usuarios le bloqueastes estos entretenimientos. como lo hicistes. puedes apoyarme?

    1. Ciro, En este caso el bloqueo es solo a ciertos usuarios. Aunque te diré que este método lo dejé de usar porque facebook tiene varias direcciones ip. Por eso mejor utilicé las reglas del firewall que ofrece IPCop 2.

  6. Hola que tal mi estimado linuxmanr4 una preg. fuera del tema este, mira tengo problemas para poder instalar el urlfilter….mas no se como instalar el squidquard 1.4 en el ipcop puedes apoyarme? por favor.

  7. oye mi estimado linuxmanr4 disculpa cuanto me cobrarías por asesorarme para dar acceso a ciertos usuarios facebook o youtube, es decir que todos los usuarios tengan internet pero cierta ips no y de esta forma pueda controlar mas el ancho de banda

  8. Hola Cirrus, por asesorarte por este medio no te cobro. Si tengo que meter mano personalmente entonces sí.

    De una vez te digo que no hay método 100% seguro. Al menos yo no lo he encontrado. Siempre hay variantes que hacen que los usuarios entren a facebook. Incluso si les llegas a bloquear la conexión, usan sus celulares con planes de datos propios y eso no lo puedes evitar.

    Otro detalle es que he intentado bloquear youtube y termino bloqueando también a Google. No he encontrado la forma de aislar sólo a uno.

    Saludos 🙂

¡Me encantaría saber que opinas!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: