Forum Debian Users Gang

todziu · 2013-01-08 15:58:38

Witam mam dość trywialny problem - jak zablokowac facebooka w sieci lokalnej regułki:

Kod:

iptables -I FORWARD -p tcp --dport 80 -d www.facebook.com -j DROP

i

Kod:

iptables -I FORWARD -p tcp --dport 80 -d www.facebook.pl -j DROP

nie działa :-/

dzieki za pomoc

Jacekalex · 2013-01-08 16:05:37

Squid?
Jest m.in właśnie do tego.
Iptables może ubić adres IP, musiałbyś wytargać z DNS listę adresów IP Facebooka, i przy okazji, FB chodzi na https, czyli porcie 443.
Dlatego blokada tylko na port 80 to lamerska pomyłka. ;)

Jak walisz

Kod:

-d facebook.com

to blokujesz 1 hosta, bo DNS jednorazowo zwróci 1 adres, a np FB ma stadko serwerów korzystające z maski /18. :D
np:

Kod:

 iptables -I INPUT -p tcp  -s facebook.com -j DROP

W firewallu ląduje tak:

Kod:

-A INPUT -s 173.252.100.16/32 -p tcp  -j DROP

Tymczasem w DNS stoi jak byk:

Kod:

whois 173.252.100.16 | egrep 'NetRange|CIDR'
NetRange:       173.252.64.0 - 173.252.127.255
CIDR:           173.252.64.0/18

Kolejny błąd, to

Kod:

-d www.facebook.com

- nazwa hosta to facebook.com, przedrostki www powstały dla wygody przeglądarek.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2013-01-08 16:24:26)

mati75 · 2013-01-08 17:07:25

U ciebie mam zrobione tak:

Kod:

iptables -t nat -A PREROUTING -p tcp -s 192.168.1.100 -d 173.194.70.1/24 --dport 80 -j DNAT --to 192.168.1.2:80

Ewentualnie dla zabawy"

Kod:

iptables -t nat -A PREROUTING -p tcp -s 192.168.1.100 -d 173.194.70.1/24 --dport 80 -j DNAT --to 62.212.83.1:80

djjanek · 2013-01-08 18:03:14

@mati75 masz zboczone poczucie humoru :)

mati75 · 2013-01-08 18:55:16

:D

jurgensen · 2013-01-08 19:13:40

Przez FaceBook rozgłaszane są następujące sieci:

Kod:

31.13.24.0/21
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.74.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
31.13.81.0/24
31.13.82.0/24
31.13.96.0/19
66.220.144.0/21
66.220.152.0/21
69.63.176.0/21
69.63.176.0/24
69.63.184.0/21
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.255.0/24
74.119.76.0/22
103.4.96.0/22
173.252.64.0/19
173.252.70.0/24
173.252.96.0/19
204.15.20.0/22

boshh · 2013-01-08 19:31:56

...

Ostatnio edytowany przez boshh (2013-01-17 06:10:42)

urbinek · 2013-01-08 19:47:12

tak, oto przepis na naleśniki http://www.kwestiasmaku.com/kuchnia_polska/nalesniki/nalesniki.html

p.s.
iptables nie obsługuje przypadkiem layer7 ?
tam mozna po nazwach hostów blokować

Ostatnio edytowany przez urbinek (2013-01-08 19:48:17)

jurgensen · 2013-01-08 19:56:57

Filtrowanie po nazwach hostów nie ma nic wspólnego z filtrowaniem w warstwie 7. W przypadku podania w regule nazwy hosta, jest ona wcześniej rozwiązywana przez resolver, używany w systemie i zamieniana na adres IP.
Natomiast filtrowanie w warstwie 7 odbywa się przez proxy i im podobne systemy, które zaglądają do wnętrza pakietu (albo najczęściej wielu pakietów) i podejmują decyzję na podstawie przenoszonych danych.

djjanek · 2013-01-08 20:38:30

jest jeszcze taki sposób, stawiasz swój serwer DNS cały ruch kierujesz na niego a w nim tworzysz swoje wpisy na temat face.

urbinek · 2013-01-08 20:42:36

hm, no to mogło mi sie coś pomieszać
w takim razie lista IP albo squid

todziu · 2013-01-08 20:45:03

to czy jest jakies jedno konkretne rozwiązanie ? bo z Waszych odpowiedzi nic jednoznacznie nie wynika,
rozwiazanie Mati75 u mnie nie dziala a zastanawiam sie czy jest sens w odp jurgensena blokowania wyszystkich sieci na firewallu ?

dzieki

djjanek · 2013-01-08 20:46:35

ja zastosował bym jedną z dwóch opcji:

1) Proxy Squid - sprawdzone i działa
2) Swój DNS - też powinno zadziałać.

jurgensen · 2013-01-08 20:53:35

Ja podałem sieci, które FB ogłasza światu, że należą do niego. A pewnie znaczna ich część nie jest w ogóle używana lub jest używana do innych zastosowań.
Co do Iptables, może reguła Ci nie działa, bo wcześniej masz bardziej ogólną regułę NATującą, pod którą to podpada.
Jeśli chodzi o najlepsze rozwiązanie, to ja rekomendowałbym proxy, jednak tak, aby wszyscy go używali (czyli transparent proxy lub blokada portów 80,443 i ręczne ustawienie proxy).
Własny DNS nie jest najlepszym rozwiązaniem, ponieważ użytkownik może użyć innego DNSa (chyba że zablokujemy wychodzący port 53, zarówno UDP, jak i TCP).

djjanek · 2013-01-08 21:17:11

Tak jak pisałem na samym początku można całą komunikacją z portu 53 przekierować na nasz serwer, to działa bo robiłem.

jurgensen · 2013-01-08 21:22:36

W przypadku ustawienia DNS, zdeterminowany użytkownik może dopisać sobie facebooka do /etc/hosts, ale to już chyba naprawdę skrajna sytuacja ;)

Pavlo950 · 2013-01-08 21:26:30

@jurgensen

Przynajmniej działa. U mnie swego czasu np nie szło ruszyć blokad (w sensie ich nałożenia) ani za pomocą danguardiana, ani za pomocą iptables.

Ostatnio edytowany przez PavloAkaLogan (2013-01-08 21:26:51)

Jacekalex · 2013-01-08 21:26:46

Ale się Dugowicze rozpędzili ;)

Kod:

 FBHOST=`host facebook.com | grep address | awk '{print $4}'`
 FBCIDR=`whois $FBHOST | grep CIDR | awk '{print $2}'`
 iptables -I OUTPUT -d $FBCIDR -j DROP

Kod:

lft facebook.com
Tracing sendto: Operation not permitted
LFT:  Your platform may prevent you from using raw TCP sockets.
      This could be the result of a local (host-based) firewall
      or a permissions problem on this binary or the BPF device.
      You can try UDP-based tracing using the "-u" option.

Tak wygląda wersja dość kiepska, profesjonalnie należy użyć w takiej opcji ipseta.

Kod:

 ipset -create BANANY hash:net

Kod:

/usr/sbin/ipset add BANANY $FBCIDR

Kod:

/usr/sbin/ipset list BANANY 
Name: BANANY
Type: hash:net
Header: family inet hashsize 1024 maxelem 65536 
Size in memory: 16792
References: 0
Members:
173.252.64.0/18

Kod:

iptables -I FORWARD  -o eth0 -m set --match-set BANANY dst -j DROP

I potem można BANANIĆ setki klas IP różnych serwerów typu FB, NK, YT, czaterie i duperie.

Pojemność Ipseta?
np:

Kod:

ipset list PEERBLOCK | wc -l
252807

To akurat peerblock

Kod:

ipset list sblamdrop | wc -l
23735

A to sblam.

Trudne?

Pozdrawiam
;-)

jurgensen · 2013-01-08 21:59:24

Niestety nie jest to takie proste. Facebook wykorzystuje wiele klas adresowych. Polecenie

Kod:

host facebook.com | grep address | awk '{print $4}'

zwróci nam adres 173.252.100.16, natomiast strona komunikuje się z adresu 31.13.80.23. Dodatkowo, pewnie inne adresy również pozwalają dostać się do strony (np. 66.220.158.25).

Dlatego też najskuteczniejsze byłoby pobieranie wszystkich sieć routowanych do AS32934 i na ich podstawie budować reguły.

winnetou · 2013-01-08 22:03:42

Poza tym pisze się

Kod:

host facebook.com | awk '/address/ {print $4}'
whois $FBHOST | awk '/CIDR/ {print $2}

a nie

Kod:

host facebook.com | grep address | awk '{print $4}
whois $FBHOST | grep CIDR | awk '{print $2}

:PP

Jacekalex · 2013-01-09 02:35:13

jurgensen napisał(-a):
Niestety nie jest to takie proste. Facebook wykorzystuje wiele klas adresowych. Polecenie
Kod:
host facebook.com | grep address | awk '{print $4}'
zwróci nam adres 173.252.100.16, natomiast strona komunikuje się z adresu 31.13.80.23. Dodatkowo, pewnie inne adresy również pozwalają dostać się do strony (np. 66.220.158.25).

Dlatego też najskuteczniejsze byłoby pobieranie wszystkich sieć routowanych do AS32934 i na ich podstawie budować reguły.

Host pobiera 1 adres, whois wyciąga z tego całą klasę adresową.

Można wyciągać klasy z AS, ale raczej nie będziesz tego robił co tydzień, wtedy bajzel przestaje blokować, kiedy np fb czy nk zmieni adresy.

O wiele prościej jest zbanować dostęp do innych DNSów poza biurowymi.
Potem skrypt odpytuje lokalny DNS, wyciąga adres IP i wio, do ipseta, natomiast lokalny DNS trzyma zablokowany adres w cache, i zwraca wszystkim, którzy o niego pytają.

Jeśli natomiast ktoś miałby się pierd* ze sprawdzaniem ręcznie AS-ów, to 50 razy szybciej Squida albo Havpa postawi.

Chyba, ze masz sposób, żeby wytargać skryptem wszystkie klasy IP, jakie są przypisane do danego AS-a, i to w pętli, żeby z whois wyciągać wszystkie ASy np FB, bo może ich być kilka na całym świecie.

Generalnie chodzi o to,żeby sam proces banowania był całkowicie zautomatyzowany, i działał skutecznie bez majstrowania "organoleptycznego".

Chodzi o coś, w typie:

Kod:

banuj domena.tld

i skrypt banuj sam wie, co zrobić, żeby było skutecznie.

W dodatku zakładając nawet, że dzisiaj ręczne kopiowanie z AS adresów Ip ma jakiśtam sens, to jak za rok czy dwa wejdzie IPv6............... ;P

U mnie wycięcie tej klasy adresowej:
173.252.64.0/18
całkowicie obcięło FB (mam lokalny DNS).

@Winnetou
Dzięki, coś słabo znam awka, przyda się.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2013-01-09 02:44:19)

vicool · 2013-01-15 15:13:23

Witam

Kod:

iptables -I FORWARD -m string --string "facebook" --algo bm -j DROP

Pozdrawiam

Forum Debian Users Gang

Ogłoszenie

#1 2013-01-08 15:58:38

todziu - Użytkownik

Blokada FB

Kod:

Kod:

#2 2013-01-08 16:05:37

Jacekalex - Podobno człowiek...;)

Re: Blokada FB

Kod:

Kod:

Kod:

Kod:

Kod:

#3 2013-01-08 17:07:25

mati75 - Psuj

Re: Blokada FB

Kod:

Kod:

#4 2013-01-08 18:03:14

djjanek - Użytkownik

Re: Blokada FB

#5 2013-01-08 18:55:16

mati75 - Psuj

Re: Blokada FB

#6 2013-01-08 19:13:40

jurgensen - Użytkownik

Re: Blokada FB

Kod:

#7 2013-01-08 19:31:56

boshh - Użytkownik

Re: Blokada FB

#8 2013-01-08 19:47:12

urbinek - Dzban Naczelny

Re: Blokada FB

#9 2013-01-08 19:56:57

jurgensen - Użytkownik

Re: Blokada FB

#10 2013-01-08 20:38:30

djjanek - Użytkownik

Re: Blokada FB

#11 2013-01-08 20:42:36

urbinek - Dzban Naczelny

Re: Blokada FB

#12 2013-01-08 20:45:03

todziu - Użytkownik

Re: Blokada FB

#13 2013-01-08 20:46:35

djjanek - Użytkownik

Re: Blokada FB

#14 2013-01-08 20:53:35

jurgensen - Użytkownik

Re: Blokada FB

#15 2013-01-08 21:17:11

djjanek - Użytkownik

Re: Blokada FB

#16 2013-01-08 21:22:36

jurgensen - Użytkownik

Re: Blokada FB

#17 2013-01-08 21:26:30

Pavlo950 - człowiek pasjonat :D

Re: Blokada FB

#18 2013-01-08 21:26:46

Jacekalex - Podobno człowiek...;)

Re: Blokada FB

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

#19 2013-01-08 21:59:24

jurgensen - Użytkownik

Re: Blokada FB

Kod:

#20 2013-01-08 22:03:42

winnetou - złodziej wirków ]:->