mercoledì 24 aprile 2013

Bloccare Facebook con pfSense


Facebook ha avuto un successo incredibile anche in Italia con milioni di persone connesse ma, il suo successo porta anche degli svantaggi non indifferenti alle aziende che vedono il proprio personale usare Facebook dal posto di lavoro con grave danno per la produttività aziendale.
Le richieste ai responsabili IT per bloccare, a livello di rete aziendale, l'accesso a Facebook è un tema molto attuale e sempre più frequente.

I metodi per bloccare un sito web possono essere diversi, nei precedenti articoli (Il controllo dei contenuti con pfSense) abbiamo visto come controllare la navigazione e bloccare l'accesso a determinati contenuti sfruttando Squid e SquidGuard ma, in alcuni casi questi metodi non sono adatti o sufficienti pertanto occorre trovare delle alternative.

Quello che verrà mostrato in quest'articolo è sicuramente il più semplice ed il più sicuro anche se il meno pratico nel caso si vogliano bloccare più siti.

Il metodo che metteremo in atto consiste nel bloccare il traffico diretto verso gli indirizzi IP utilizzati dal sito a cui si vuole impedire l'accesso.

Per prima cosa occorre recuperare gli indirizzi IP legati al sito, nel caso di Facebook è possibile avere un elenco completo degli indirizzi effettuando la seguente query:

whois -h whois.radb.net '!gAS32934'

ottenuta una lista simile alla seguente

31.13.24.0/21
31.13.64.0/18
66.220.144.0/20
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
103.4.96.0/22
173.252.64.0/18

204.15.20.0/22

Accediamo al menù Firewall > Aliases
Creiamo un nuovo alias così definito:
Name: URL_FACEBOOK
Type: Network(s)
Network(s)
Network: 31.13.24.0 CDIR: 21
Network: 31.13.64.0 CDIR: 18
...
Network: 31.13.81.0 CDIR: 24

Clicchiamo su Save

Ora selezioniamo Firewall > Rules e creiamo una nuova regola così definita:

Action: Block
Interface: LAN
Protocol: TCP
Source: Any
Destination: URL_FACEBOOK

Clicchiamo su Save

A questo punto il nostro filtro è pronto a bloccare tutto il traffico proveniente dalla nostra lan e diretto verso gli IP di Facebook. Il filtro è molto semplice ma funzionale.
Posta un commento