Se que bloquear facebook no me hace el administrador de redes más popular, pero yo solo soy la mano ejecutora, no el que dicta la sentencia.
Bloquear facebook no es sencillo, algunos usan la estrategia de squid, otros usando iptables, creo que lo mejor es usar varias estrategias.
Bloqueo mediante el proxy (squidGuard).
El bloqueo de proxy se logra usando el addon URL Filter, en la configuración del addon marque varias categorías, incluyendo socialnet.
Con esto será más que suficiente para bloquear el dominio de facebook y disuadir a algunos usuarios.
Si la vida fuera sencilla, con esto sería más que suficiente, pero los facebuadictos encuentran la forma de brincarse este bloqueo. Y es que tampoco es muy díficil, con entrar usando el protocolo https es más que suficiente debido a que el proxy no funciona en conexiones seguras. Por eso es necesario poner en acción algunos bloqueos con iptables.
¿Qué dirección IP Bloquear?
Lo primero es averiguar que dirección IP esta usando facebook, para eso use el comando nslookup
nslookup facebook.com
Server: 127.0.0.1 Address: 127.0.0.1#53
Non-authoritative answer: Name: facebook.com Address: 173.252.110.27
Ahi nos dice que la dirección es la 173.252.110.27, pero como esa no es la única que usa facebook, tendré que bloquear todo un rango de ips.
Modificar el archivo rc.firewall.local
IpCop es un poco sensible en cuanto a las configuraciones personalizadas, si no se hace en el archivo correcto, cualquier modificación que se haga desde la página de administración las eliminará.
Para agregar reglas personalizadas se edita el archivo /etc/rc.d/rc.firewall.local y agregar las líneas de bloqueo con iptables.
La regla es muy sencilla, sólo hay que saber la dirección ip del cliente que se quiere bloquear, ejemplo:
iptables -I FORWARD -s direccion.ip.del.sentenciado -p tcp -d 173.252.110.0/18 -j DROP
Si se fijan usamos la dirección IP que nos da el comando nslookup hasta la tercera cantidad, al final se agrega un cero y la máscara de red /18 para bloquear todo un rango de direcciones ip.
Llegó el momento de agregar esta regla justo después de donde dice ## add your ‘start’ rules here.
#!/bin/sh
# Used for private firewall rules
# See how we were called.
case "$1" in
start)
## add your 'start' rules here
# Los desterrados sociales.
iptables -I FORWARD -s ip.del.sentenciado.1 -p tcp -d 173.252.110.0/18 -j DROP
iptables -I FORWARD -s ip.del.sentenciado.2 -p tcp -d 173.252.110.0/18 -j DROP
iptables -I FORWARD -s ip.del.sentenciado.3 -p tcp -d 173.252.110.0/18 -j DROP
;;
stop)
## add your 'stop' rules here
;;
reload)
$0 stop
$0 start
## add your 'reload' rules here
;;
*)
echo "Usage: $0 {start|stop|reload}"
;;
esacArchivo: rc.firewall.local
De esa manera se aplicarán las reglas cada vez que se reinicie IPCop.
El resultado será el siguiente:
Este consejo se puede aplicar a una gran variedad de sitios y firewalls basados en iptables, espero que les sea de utilidad.
BOFH Foreveeer !!!!
gracias master quedo bloqueado el facebook ……
En realidad le agradezco pues esta linea si bloqueo el facebook, definitivamente, muchas gracias!!! Excelente aporte
Hola, soy del Brazil, yo use:
iptables -I FORWARD -p tcp –dport 443 -m string –string ‘facebook’ –algo bm -j DROP
How open in lunch time???
iptables -I FORWARD -p tcp –dport 443 -m string –string ‘facebook’ –algo bm -m time –timestart 13:00 –timestop 17:00 -j DROP
Con esta ya lo puedes dejar abrir a la hora de almuerzo
Hola, buenas tardes, como seria la sintaxis para que una ip si pueda accesar a facebook, tengo un equipo que es de uso de mercadotecnia y lleva el face de la empresa solo a esa ip quiero que tenga acceso al facebook
Hola Héctor,
Simplemente no la incluyas su dirección IP en el archivo rc.firewall.local y ya.
Saludos !!!
tengo una pregunta, que he buscado por todos lados, tengo a cargo cierta cantidad de PC, las cuales algunos tienen restringido ciertas paginas a otras no, como puedo bloquear un determinado rango de mac address paginas como facebook y mega ?
Hola Carlos,
No dices si estás usando IPCop, pero puedes usar este consejo o quizas tambien generando una regla nueva en el firewall de ipcop 2.
Saludos !!!.
si, fijate que estoy usando ipcop 2
Hola Carlos,
Pues acabo de escribir un artículo que precisamente hace uso de las reglas del firewall de ipcop 2, Bloquear facebook con las reglas del firewall de ipcop, te invito a que le des una leída.
Saludos !!! 🙂
gracias me sirvió de mucho , ya lo estoy implementando 🙂
Que buen aporte Linuxman realmente logre bloquear facebook y youtube cosa que no podias. Aunque ahora esta de moda spotify me puedes ayudar para bloquear!!
No seas tan tirano !!! la música es el alimento del alma, no dejes a tus compañeros de trabajo tan a dieta 🙂
Oye pudistes bloquear todos eso?, mi duda es a todos aplicastes estas reglas o a ciertos usuarios le bloqueastes estos entretenimientos. como lo hicistes. puedes apoyarme?
Ciro, En este caso el bloqueo es solo a ciertos usuarios. Aunque te diré que este método lo dejé de usar porque facebook tiene varias direcciones ip. Por eso mejor utilicé las reglas del firewall que ofrece IPCop 2.
Hola que tal mi estimado linuxmanr4 una preg. fuera del tema este, mira tengo problemas para poder instalar el urlfilter….mas no se como instalar el squidquard 1.4 en el ipcop puedes apoyarme? por favor.
En la versión 2 de ipcop ya esta instalado el url filter. ¿Lo estas intentando instalar en una versión antigua de ipcop?
no, tengo instalado el ipcop 2.1.8 y si efectivamente ya esta instalado, lo que deseo saber como instalo el squidguard con el putty…. para aplicar una configuración, lo que menciones aquí en este post que hiciste: https://linuxmanr4.com/2009/07/25/urlfilter-en-ipcop-acceso-a-usuarios-por-direccion-ip/
Si ya esta instalado no necesitas instalarlo nuevamente. La página que mencionas era para IPCop 1 y ya no es necesario. Mejor leete el manual en http://www.ipcop.org/2.0.0/es/admin/html/services-urlfilter.html Y asigna permisos por dirección ip desde la misma página de configuración.
oye mi estimado linuxmanr4 disculpa cuanto me cobrarías por asesorarme para dar acceso a ciertos usuarios facebook o youtube, es decir que todos los usuarios tengan internet pero cierta ips no y de esta forma pueda controlar mas el ancho de banda
Hola Cirrus, por asesorarte por este medio no te cobro. Si tengo que meter mano personalmente entonces sí.
De una vez te digo que no hay método 100% seguro. Al menos yo no lo he encontrado. Siempre hay variantes que hacen que los usuarios entren a facebook. Incluso si les llegas a bloquear la conexión, usan sus celulares con planes de datos propios y eso no lo puedes evitar.
Otro detalle es que he intentado bloquear youtube y termino bloqueando también a Google. No he encontrado la forma de aislar sólo a uno.
Saludos 🙂