Bloquear facebook con las reglas del firewall de ipcop no es complicado, si acaso será un poco laborioso dar de alta las direcciones IP y las direcciones mac de los futuros desterrados.
A los administradores de redes no es que nos guste bloquear facebook, muchas veces nos piden que lo hagamos porque hay que reconocer que existen personas que invierten más tiempo en la red social que haciendo sus labores. Es el eterno distractor en el que muchas veces no esta justificado su uso.
Si el usuario tiene Facebook en su celular gracias a un plan de datos, esa es otra historia y quizás haya que ajustar las políticas de la empresa al respecto. Lo cierto es que sobre todo las mujeres están muy enganchadas a Facebook y harán hasta lo imposible para no perder detalle de los chismes y novedades de sus amigas (es una realidad no se hagan).
HTTPS es el problema.
El problema es que ahora se accesa a Facebook usando el protocolo HTTPS que es un enlace seguro, y este tipo de tráfico no es procesado por Squid y por lo tanto no puede ser filtrado con Filtro URL (squidGuard) que tiene instalado IPCop.
Entonces lo que sigue es bloquear todo el tráfico que tenga como destino los servidores de facebook no importando si utilizan HTTP o HTTPS.
También podría «envenenar» el DNS de IPCop para que respondiera con un sitio equivocado cada vez que un equipo quisiera saber la dirección IP del dominio de Facebook, pero no podría ser selectivo con este engaño y toda mi red estaría comprometida, además no falta el usuario vivo que ponga sus propios DNS en su equipo, no sabrán imprimir pero que tal brincarse las restricciones 🙂 .
Averiguar las direcciones IP de Facebook
Para bloquear Facebook primero tenemos que averiguar las direcciones IP de destino del dominio. Intenté hacerlo con el dominio pero IPCop me marca un error al intentar dar de alta las direcciones.
Encontré 3 direcciones, dos usando la herramienta nslookup y una más por casualidad haciendo ping a facebook.com
- usando ping → 31.13.69.197
- facebook.com → 173.252.74.22
- www.facebook.com → 31.13.66.1
Dar de alta las direcciones
Con esta información ya es posible empezar a trabajar en las reglas del firewall. Primero hay que ir al menú de Firewall de IPCop en donde dice Direcciones y se dan de alta una por una las direcciones que encontramos de Facebook.
Revisen en sus localidades porque las direcciones que obtengan ustedes pueden ser diferentes a las mías o cambiar con el tiempo.
De manera similar damos de alta las direcciones MAC de los condenados al destierro social, prefiero usar las direcciones MAC porque las direcciones IP pueden cambiar en el servidor DHCP pero las MAC son las mismas.
Crear dos grupos de direcciones.
Ahora se van a crear dos grupos en el menú Firewall – Grupos de direcciones. Uno de ellos contendrá las direcciones IP del dominio de Facebook y otro será el grupo de direcciones MAC de los equipos bloqueados. Al primero le puse facebook y al segundo facebook bloq. Pero supongo que ustedes pueden elegir mejores nombres 🙂 .
En este punto los elementos de cada grupo de direcciones se pueden ver en la parte inferior de la página.
Agregar una regla en el firewall
A estas alturas ya solo nos falta agregar una regla en el firewall. Tenemos nuestros tráfico de origen, el grupo facebook bloq y el destino de este tráfico que es el grupo facebook.
Vamos al menú Firewall – Reglas del Firewall y presionamos el botón que dice Tráfico saliente.
Más o menos debe de quedar como muestra la imagen.
En este caso el orden de las reglas si afecta el resultado, así que es posible que para activar el bloqueo sea necesario subir la regla para que se aplique antes que las que siguen.
Conclusiones
Si todo se hizo de la manera correcta verán que es imposible abrir el sitio de facebook en los equipos que aparecen en el listado de los bloqueados.
La administración de la regla de bloqueo se simplifica mucho, porque para agregar un equipo a la lista basta con agregar una dirección MAC y agregarla al grupo de bloqueados. Del mismo modo, si llegara a aparecer una nueva dirección de Facebook, basta con agregarla a las demás para que funcione nuevamente.
El mismo principio se puede aplicar a otros sitios, tengo a Youtube en la mira, sin temor a equivocarme es el responsable de una gran cantidad de tráfico en mi red.
BOFH Forever !!!
Hola buenas noches queria saber si me podrian ayudar porque un profe me encargo que bloquearamos google en una maquina virtual con ipcop pero ya intente con los ejemplos que pusieron y no lo consigo nose si me puedan ayudar
Hola Rubén, dile a tu profe que mejor intente con pfSense, ipCop ya esta descontinuado Mis inicios con pfSense.
Si sigues el tutorial deberia de funcionar:
Si no funciona es porque a lo mejor esta saliendo por otra dirección ip. Haz ping a google y fijate si la dirección ip esta en tu lista de direcciones bloqueadas.
Sigue usando la herramienta ping, cuando no logres hacer ping a Google es que el bloqueo esta funcionando.
Saludos.
Recibí tu respuesta linuxmanr4 te agradezco, comenzare a estudiar pfsense y te comento como me fue.
hola espero pueda ayudarme, yo utilizo ipcop, he intentado bloquear facebook y youtube por medio de iptables dentro del archivo rc.firewall.local y nomas no funciona, no se si tenga que hacer algo antes en el ipcop para que tome encuenta mis reglas de iptable.
Hola Guillermo,
Hace tiempo también intenté bloquear facebook modificando el archivo rc.firewall.local , dale un vistazo por favor Bloquear facebook con IPCop + iptables.
Y luego comparamos notas. Ten en cuenta que el proyecto IPCop ya no tiene actualizaciones, por si quieres cambiar de distribución, actualmente utilizo pfSense y me va muy bien.
Con respecto a bloquear youtube, suerte con eso, la última vez que lo intenté también bloqueaba al buscador de Google.
Saludos !!!
Excelente, muchas gracias, tenia mucho tiempo tratando y nada me había servido.
Me interesa tu comentario que haces, como lo hicistes?
Mi estimado maestro, aplico esta lineas ip tables y se bloquea toda la red en facebook y youtube ….pero mi insistencia amigo como le haría para bloquear a ciertos usuarios. ya sea por su mac o su ip y que solo tenga algunas paginas excepto facebook y youtube. Una ayudadita para empezar.
gracias
Nuevamente, para facebook no creo que tengas problemas en aplicar este consejo. Con youtube es diferente, porque a lo mejor terminas bloqueando todo Google.
La ayudita aquí esta, en este artículo. Con youtube ni yo lo he logrado, así que vas a tener que leer más o buscar herramientas alternas como Mikrotik, PFsense o un enfoque con DNS.
¡Suerte!
Este consejo utiliza iptables ( https://linuxmanr4.com/2013/09/11/bloquear-facebook-con-ipcop-iptables/ ), pero es para facebook. Si decides adaptarlo para youtube, te advierto que muy probablemente también dejarás de tener acceso a Google.
Espero que te sirva de algo.
mira yo bloqueo youtube con IPTABLES y si se bloquea a todas las pcs, aplico esto:
iptables -I FORWARD -p tcp –dport 443 -m string –string ‘youtube’ –algo bm -j DROP
iptables -I FORWARD -p tcp –dport 843 -m string –string ‘facebook’ –algo bm -j DROP
Sin embargo, lo que deseo es restringir a ciertas ip o mac de los celulares….mira aquí este video de este amigo…puede ayudarnos.. quiero pensar que pudiera unirse ciertas reglas para que se aplica a las mac de los dispositivos, como vez
como lo harias para bloquear a youtube que no tiene direccion ip directamente sino reside de google
oye amigo yo deseo bloquear el youtube en los celulares a través de las mac o ip, como puedo hacerlo porque el youtube no deja ver su dominio o ip
Es muy dificil con ipcop, lo intenté durante un tiempo, pero al final terminaba bloqueando también a Google.
mikrotik señores y resuelto el rollo!!!
Y estoy de acuerdo tocayo, el problema es la licencia de Mikrotik, aunque habrá quien prefiera no batallar. También se me ocurre que se puede usar pFsense, que también es muy bueno, pero no tengo instalado. 🙁
Tengo un problema. Facebook si lo puedo bloquear, pero al agregar las IPs de YOUTUBE me tumba la navegación,en el mejor de los casos abre otras paginas pero no puedo abrir google hace un par de minutos lei que es porque practicamente Youtube es de Google , es verdad? o tiene solución?
Igual me gustaría darle acceso a ciertos equipos
Lamentablemente tienes toda la razón, si haces un nslookup de Google y de Youtube te vas a dar cuenta de que ambos dominios prácticamente comparten las mismas direcciones IP. Por lo tanto bloquear a uno implica bloquear al otro.
Ahora ¿Qué puedes hacer? bueno, tus usuarios bloqueados de Youtube pueden usar otro buscador como Bing, Yahoo, DuckDuckGo (¿Quién inventó ese nombre?). Se que la competencia esta a años luz de distancia del buscador principal, pero es eso o nada.
¿Les quieres dar permiso a ciertos equipos? pues adelante, empieza a hacer un grupo de Youtubelievers a los que si les vas a dar acceso a Youtube (y a google), solo revisa el orden de aplicación de las reglas. Sería algo así como, una regla para bloquearlos a todos y otra para darle chance a mis cuates.
Creo que existen otras formas, pero no son aplicables con ipCop, me han contado que pfSense tiene opciones mucho más avanzadas, si quieres darle un vistazo adelante !!!.
Saludos.
Hola amigo no me funciono, realize todo como lo planteaste, estoy probando con mi pc y no apica, no se que hacer
Hola Angelo, Me podrias pasar algunos screenshots de como tienes configuradas las reglas del firewall.
perdon pero en vez de bloquear a facebook youtube y otras https es posible regularlas (limitar su velocidad) , con delay_parameters por ejemplo?. no encuentro nada de esto, se que el ipcop 2 tiene squid 3 que tiene soporte de https pero no idea si el que viene con ipcop lo esta usando y como configurar esto.
gracias.
Hola Coconauta,
Pues sería cosa de revisar si los delay pools funcionan igual en ipcop2 que en ipcop1. Hace tiempo escribí un artículo de delay pools para ipcop1, puedes revisar si también aplica para la versión 2 IPCop y los Delay Pools de Squid.
Saludos !!!.
No me funcionó 🙁 Me marcó error al intentar agregar una regla: eror de servicios, tuve que seleccionar «ping», pero no funcionó.
Pues quisiera ayudarte Natalia,
Pero no estoy seguro de que estás haciendo, supongo que el error te aparece al agregar la regla al firewall pero.. ¿ping? no se a que te refieres.
¿Tienes un screenshot? para darle un vistazo a lo que quieres aplicar.
Saludos.
Hola. Buenos días. Si tengo el screenshot pero no se como pegarlo en éste comentario 🙁
Te comento, el error que me muestra es cuando le doy clic en guardar, en la parte superior muestra : «Servicio no válido», y creo que es porque no selecciono ningun servicio en la opción: «Usar servicio>>Predeterminar servicios:» Por esta razon seleccioné «Ping».
Gracias. Saludos!
Hola Natalia,
La opción que dice USAR SERVICIO, ¿Está desmarcada?
Saludos !!!
Ya lo corregí. Gracias!. Pero no me funcionó 🙁
Pero tanto el facebook o el youtube manejan un rango de direcciones en linux no conoces alguna distro que bloquee por aplicaciones?
Bueno, por eso di de alta un rango de direcciones. Por aplicaciones no conozco, es que tengo IPCop desde hace varios años y de momento no lo pienso cambiar pues porque no ha fallado 😛
Uhh!!! En la oficina olvidate del dia del amigo 😀
Increible la gente hasta cambia las placas para poder tener facebook!, se escucha cada cosa. Yo no puedo tirar la primera piedra, facebook no tengo y no me importa, pero youtube, piedad please… piedad. Sino como bajo los tutoriales en HD para verlos en casa.
Espero que por acá no ande cerca el BOFH je, je
Saludos.
Bueno por eso mismo tengo una lista con todos los equipos que pueden tener salida a internet, por default, todos están bloqueados 😛
Como siempre muy buena información.
El siguiente comentario lo hago en referencia a lo que dices de bloquear por MAC y no por IP. Estoy 100% de acuerdo contigo y de esto tengo la siguente referencia.
Hace unos meses con un cliente se les hizo lento el inernet, al grado de que ya no se podian ver sus camaras atravez de internet. Al checar me di cuena que tenia como unos 20 usuarios conectados, haciendo cunetas con los dispositivos del negocio, dueño y familia eran 8 usuarios. Me di a la tarea de blokear desde el router (uso un tp-link TD-W8968, recomiendo para quienes se conectan con ADSL, osease Telmex en Mexico), y asunto solucionado, su navegacion mejor con esta accion. Pocas semanas despues regrese por otros asunto, recorde lo de los intrusos y de por no dejar le di otra checada…. Pues no me an a creer que uno de los que le robaba el inernet se compro ora tarjeta de red para poder robar el inernet… WTF!!!! obvio lo bloque…. pero!!!!! dos dias despues ya tenia otra tarjeta de red!!!! doble WTF!!!!! obvio lo bloque una vez mas, pero bueno creo que con el coso de las tarjetas que compro bien los pudo emplear para pagar uno o dos meses de internet.
osea, la conclusion es que se confirma lo que bien comentas «No saben mandar a imprimir, pero…..»
Gracias por este genial Articulo, yo uso un balanceador de cargas TL-ER604W de tp-link, y aun que en mi caso particular no lo uso pero incorpora un firewall que te permie bloquear aplicaciones com facebook en celulares o direcamente las paginas, tambien lo recomiendo apliamene.
SALUDOS.
Hola Antonio, pues si, así se las gastan mis usuarios.
El problema conmigo es que deben de tener internet, pues por los correos y esas cosas, pero no facebook y limitar ese contenido se estaba volviendo muy engorroso y cosa curiosa, al igual que tu noté un mejor desempeño en el internet y es que la moda en facebook son los videitos.Yo tengo un ancho de banda muy limitado, así que estos bloqueos tiene un gran impacto.
Saludos !!!