Bloqueando Facebook con PFSense

Ahora que en la empresa estamos usando telefonía IP, me preocupa mucho más como se está usando el ancho de banda. Dentro de las cosas que estoy bloqueando para uso no autorizado es facebook, después de todo acá se viene a trabajar.

Para los que no saben, PFSense es un sistema de firewall que puedes instalar en un computador, reduciendo los costos de comprar equipos que tienen este propósito.

En este artículo iremos paso a paso como bloquear las redes de facebook usando pfsense.

Antes de continuar necesitamos saber la lista de IPs actualizada que usa facebook, en linux podemos usar el comando whois para obtener la lista.

whois -h whois.radb.net '!gAS32934'

El resultado tiene que ser como el siguiente :

A1157
204.15.20.0/22 69.63.176.0/20 66.220.144.0/20 66.220.144.0/21 69.63.184.0/21 69.63.176.0/21 74.119.76.0/22 69.171.255.0/24 173.252.64.0/18 69.171.224.0/19 69.171.224.0/20 103.4.96.0/22 69.63.176.0/24 173.252.64.0/19 173.252.70.0/24 31.13.64.0/18 31.13.24.0/21 66.220.152.0/21 66.220.159.0/24 69.171.239.0/24 69.171.240.0/20 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.67.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.74.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.96.0/19 31.13.66.0/24 173.252.96.0/19 69.63.178.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.87.0/24 31.13.88.0/24 31.13.89.0/24 31.13.90.0/24 31.13.91.0/24 31.13.92.0/24 31.13.93.0/24 31.13.94.0/24 31.13.95.0/24 69.171.253.0/24 69.63.186.0/24 31.13.81.0/24 179.60.192.0/22 179.60.192.0/24 179.60.193.0/24 179.60.194.0/24 179.60.195.0/24 185.60.216.0/22 45.64.40.0/22 185.60.216.0/24 185.60.217.0/24 185.60.218.0/24 185.60.219.0/24 129.134.0.0/16 157.240.0.0/16 204.15.20.0/22 69.63.176.0/20 69.63.176.0/21 69.63.184.0/21 66.220.144.0/20 69.63.176.0/20

Esta lista corresponde a los segmentos de red usados por Facebook. Ojo, segmento de red no es lo mismo que una dirección IP, un segmento posee más de una  direcciones IP.

Ok, lo primero que haremos es crear un Alias con todos los segmentos de red de facebook.

Menu de Alias en PFSense
Menu de Alias en PFSense

Ahora creamos un nuevo alias con las direcciones de facebook. Es importante no olvidar seleccionar la opción de networks en vez de hosts, ya que lo que obtuvimos al comienzo son redes y no direcciones IPs.

Facebook IPs PFSense
Facebook IPs PFSense

Teniendo el alias listo con todas las redes, simplemente procedemos a bloquear el tráfico hacia estos IPs.

Vamos a la pestaña Firewall -> Rules , y luego seleccionamos la pestaña LAN. Ahí crearemos una nueva regla en donde la acción es bloquear, el source serán todos los IPs ( En mi caso los que no estén en el alias whitelist, de querer que fueran todas simplemente seleccionamos any ) y en la dirección de destino simplemente seleccionamos como alias el nombre que le hayamos puesto a las direcciones de facebook, en mi caso facebookIps .

La regla debería quedar de la siguiente manera.

Reglas Firewall PFSense Facebook
Reglas Firewall PFSense Facebook

Cabe destacar que para que la regla funcione, debe de estar en el inicio de las reglas del firewall, si no el firewall nunca llegará a esta regla.

Esto es todo, ojala a alguien le sirva.

Saludos!

 

5 Replies to “Bloqueando Facebook con PFSense”

  1. nicolasasas says:

    una consulta porque me habra pasado que solo me bloqueo la forma de entrar en facebook en internet explorer de forma directa ( osea poniendo la direccion en el URL pero no desde google) y no en google Chrome ????

    View Comment Responder
  2. enso says:

    Muy agradecido por tu tutorial esta perfecto la idea. tengo una consulta, mencionas en tus explicacion ( En mi caso los que no estén en el alias whitelist..).
    estuve tratando de replicar ese whitelist que generaste pero no me funciona correctamente, dime como se podria implementar ello si podrias agregar un tutorial para crear un whitelist.. como refuerzo a tu tutorial. Mil gracias..

    View Comment Responder

Deja un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.