Bloqueo de sitios web HTTPS en LAN [cerrado]

-4

¿Cómo puedo bloquear sitios web HTTPS (por ejemplo, Facebook) en nuestra red de área local sin usar un firewall?

    
pregunta Amit 20.07.2016 - 11:59
fuente

1 respuesta

1

Facebook se puede bloquear de muchas maneras:

  • En proxy como squid / sslbump mencionado
  • En Firewall y DNS

Facebook está usando su propia red

rk rangos y hay más que solo Facebook, pero todo es social esencialmente como Instagram.

Vea esta publicación sobre cómo averiguar la dirección IP de Facebook

También debe pensar qué hacer con las "solicitudes a Facebook". Puede configurar una zona en su servidor DNS local "facebook.com" y dirigir todo el tráfico a un servidor ficticio sin servidor web, por lo que devuelve "conexión rechazada". Esto se debe a que cuando bloquea el firewall, esto puede bloquear los navegadores web. Debe configurar todos los dominios de "nivel superior" de Facebook como "* .facebook.com, * .fbcdn.net" y así sucesivamente. También puede hacer que el DNS no responda nada en absoluto.

Ver la lista de dominios de Facebook: enlace

En lugar del DNS, puede hacer que el firewall no ralentice los navegadores enviando la respuesta "conexión rechazada" por sí misma. Esto se puede hacer redireccionando al puerto local o al servidor ficticio sin puerto abierto. Aquí hay un ejemplo, pero no es para enrutador, es para host independiente, pero muestra que para bloquear el sitio web sin ralentizar el navegador, debe informar al navegador que el puerto está cerrado mediante TCP / IP y no solo ICMP. Esto se puede hacer redireccionando el puerto saliente al puerto local:

[root@localhost ~]# telnet 213.180.141.140 443
Trying 213.180.141.140...
Connected to 213.180.141.140.
Escape character is '^]'.
^]
telnet> q
Connection closed.
[root@localhost ~]# iptables -t nat -A OUTPUT -d 213.180.141.140 -p tcp --dport 443 -j DNAT --to-destination 127.0.0.1:777
[root@localhost ~]# telnet 213.180.141.140 443
Trying 213.180.141.140...
telnet: connect to address 213.180.141.140: Connection refused

Esta es una forma muy confiable de hacerlo. Es posible que algunos firewalls puedan bloquear el puerto de tal manera que no sea necesaria la redirección.

Por lo tanto, puede usar tanto el Firewall como el DNS (o solo el Firewall), o puede usar la opción de proxy.

Ir con la opción de proxy es bueno cuando ya lo tiene instalado. Este es un gran cambio para la compañía y podría presentar problemas con la privacidad, por ejemplo, alguien podría ingresar al proxy y rastrear todo el tráfico a la nube como Gmail y Office365 cuando se vuelva a cifrar allí.

El bloqueo de Facebook por lo general no proporciona resultados positivos, ya que muchas personas lo necesitan para todo tipo de trabajo, por lo que dicha decisión generalmente se anula en breve.

    
respondido por el Aria 20.07.2016 - 13:26
fuente

Lea otras preguntas en las etiquetas