1 Temat przez zbynex

  • zbynex
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-19
  • Posty: 292

Temat: Gargoyle Obsy i skuteczne blokowanie https: Facebook

Witam

Wiem że temat poruszany na forum kilkakrotnie jednak opisane tam sposoby nie są skuteczne w 100%.

Chciałbym zapytać czy ktoś z forumowiczów poradził sobie skutecznie z blokowaniem stron https: a szczególnie Facebook-a. Blokowanie wszystkich url wykorzystywanych przez facebook nie jest skuteczne w przypadku stron https:. Próbowałem blokować pulę adresów IP i też nie zawsze działa. Być może lista IP Facebook z której korzystałem nie jest kompletna ale nie wiem gdzie szukać aktualnej.

Jeżeli ktoś poradził sobie z tym problemem to proszę o pomoc i opis jak to wykonać.

WNDR 4300, WT3020F, TL-WR842NDV2 i MR3420V2 RamMOD FlashMOD U-Boot + Hilink E3372s + RTL2832u + IT9135v02 + HDD + VOIP + Gargoyle PL 1.10.0.1 by Obsy

2 Odpowiedź przez migos

  • migos
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-11-19
  • Posty: 196

Odp: Gargoyle Obsy i skuteczne blokowanie https: Facebook

Wpisz to do firewall-a i go zrestartuj.
Powinno na jakiś czas pomóc.
Trzeba tylko sprawdzić, czy jakieś inne strony Cię interesujące też przy okazji nie wyciąłeś smile

# www.facebook
iptables -I FORWARD 1 -p tcp -d 66.220.1.70 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.176.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.177.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.178.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.179.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.180.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.181.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.182.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.183.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.184.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.185.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.186.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.187.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.188.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.189.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.190.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.63.191.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.145.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.146.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.147.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.148.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.149.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.150.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.151.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.152.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.153.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.154.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.155.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.156.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.157.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.158.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 66.220.159.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.224.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.225.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.226.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.227.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.228.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.229.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.230.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.231.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.232.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.233.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.234.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.235.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.236.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.237.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.238.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.239.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.240.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.241.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.242.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.243.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.244.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.245.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.246.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.247.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.248.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.249.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.250.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.251.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.252.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.253.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.254.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.171.255.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.145.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.146.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.147.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.148.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.149.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.150.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.151.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.152.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.153.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.154.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.155.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.156.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.157.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.158.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 69.220.159.0/24 -j REJECT
iptables -I FORWARD 1 -p tcp -d 31.13.93.0/24 -j REJECT

3 Odpowiedź przez zbynex

  • zbynex
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-19
  • Posty: 292

Odp: Gargoyle Obsy i skuteczne blokowanie https: Facebook

No faktycznie na obecną chwilę chyba skutecznie wycięła  Facebooka.
Reguła wycięła dostęp wszystkim użytkownikom a  teraz kolejne moje pytanie:
Jak ją przerobić aby była widoczna w GUI Gargoyle pod jakąś nazwą tak aby można ją było z poziomu GUI przypisać do konkretnych użytkowników ?

WNDR 4300, WT3020F, TL-WR842NDV2 i MR3420V2 RamMOD FlashMOD U-Boot + Hilink E3372s + RTL2832u + IT9135v02 + HDD + VOIP + Gargoyle PL 1.10.0.1 by Obsy

4 Odpowiedź przez morfik (edytowany przez morfik 2015-04-22 07:46:57)

  • morfik
  • morfik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-06-29
  • Posty: 528

Odp: Gargoyle Obsy i skuteczne blokowanie https: Facebook

Ja to bym na twoim miejscu zrobił z tego listę adresów dla ipseta, bo ładowanie tego typu reguł do iptables w 99,9% przypadków tylko męczy router. A jeśli chodzi o ipseta, to masz tylko jedną regułę i wszystkie adresy siedzą w pamięci i są porównywane praktycznie natychmiast i nie ma przy tym znaczenia ile ich tam jest i system się praktycznie przy tym nie męczy w żaden sposób. Przykład:

# ipset list bt_level1 | wc -l
256701

Pisać 256tyś reguł w iptables ? xD Przy czym to nie są same adresy tylko klasy adresów, no i to tylko jedna z moich list. No ale trochę pamięci trzeba na tę listę przeznaczyć:

# ipset list bt_level1 | head
Name: bt_level1
Type: hash:net
Revision: 5
Header: family inet hashsize 131072 maxelem 270000
Size in memory: 5900664
References: 4
Members:
64.149.13.0/24
67.98.117.112/28
63.139.255.208/29

Niecałe 6M.

A co do samych reguł iptables, to sobie dopisz adres źródłowy danego człowieka i będą dopasowywane tylko do niego. Tylko sam widzisz, że jeśli masz więcej niż jedną osobę, to te wszystkie adresy trzeba pisać kilka razy, a to już ci router zamęczy. xD A w ipsecie nawet jakbyś miał 10 ludzi, to tylko by było 10 reguł, oczywiście przy założeniu, że nie wyznaczyłbyś im kolejnych adresów, bo można by ich wtedy spiąć w jedną regułę.

morfik's Strona

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,883

Odp: Gargoyle Obsy i skuteczne blokowanie https: Facebook

Jeżeli ktoś używa: sprawdź czy nie sprawdzi się zmiana domeny facebook.com na 127.0.0.1 w dnsmasq i wymuszenie używania routera jako serwera dns.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez zbynex (edytowany przez zbynex 2015-04-22 08:45:30)

  • zbynex
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-19
  • Posty: 292

Odp: Gargoyle Obsy i skuteczne blokowanie https: Facebook

Faktycznie morfik masz rację bo nie o to chodzi aby zamulić system.
A mógłbyś mi napisać jak to powinno wyglądać dla ipseta przykładowo blokowanie dwóch adresów MAC. Co i gdzie powinno się zrobić. Jestem dopiero początkujący z openwrt i to dla mnie nowość smile

Cezary a dałoby się przekierować domenę facebook na 127.0.0.1 tylko dla konkretnych użytkowników. Takie rozwiązanie jest dla mnie najlepsze bo akurat pod 127.0.0.1 mam przekierowanie na na stronę html z informacją że strona została zablokowana. W jaki sposób należało by to zrobić ?

WNDR 4300, WT3020F, TL-WR842NDV2 i MR3420V2 RamMOD FlashMOD U-Boot + Hilink E3372s + RTL2832u + IT9135v02 + HDD + VOIP + Gargoyle PL 1.10.0.1 by Obsy

7 Odpowiedź przez morfik

  • morfik
  • morfik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-06-29
  • Posty: 528

Odp: Gargoyle Obsy i skuteczne blokowanie https: Facebook

Ja nie używam gargulca tylko czystego openwrt, to raz, a dwa, używam własnego filtra, a nie tego co jest ustawiony w openwrt. Tak czy inaczej tam była jakaś możliwość dodawania własnych reguł do tego filtra domyślnego i pewnie można to i tam zrobić. Tak czy inaczej to sobie instalujesz pakiety:

ipset kmod-ipt-ipset

I dorzucasz linijki typu:

# cat /etc/init.d/morfinetwork | grep china
        ipset create autoban_china hash:net family inet maxelem 10000 >/dev/null 2>&1
        iptables -t raw -A ipset_in -i eth0 -m set --match-set autoban_china src -j DROP

I do tego lista adresów (może być w pliku) dodawanych via:

ipset add autoban_china $IP

I powinno działać:

# ipset list autoban_china |wc -l
5472

# iptables -nvL -t raw | grep china
 pkts bytes target     prot opt in     out     source               destination
27204 4107K DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            match-set autoban_china src

Ja w sumie używam tylko automatycznie generowanych list w połączeniu z dynamicznie tworzonymi listami, jak np. łączenie się z portami zakazanymi -- człowiek/bot spróbuje się połączyć z portem 22 i dostanie bana na jakiś czas powiedzmy. smile Z tym, że te automatyczne listy generowane przez różne serwisy trzeba aktualizować, a tym się cron zajmuje i prosty skrypt, np. w przypadku chin:

ipset flush autoban_china

for IP in $(wget -O - http://www.ipdeny.com/ipblocks/data/countries/cn.zone)
do
        ipset add autoban_china $IP
done

Po więcej info używaj gógla -- tutaj masz trochę linków na początek:
https://www.frozentux.net/iptables-tuto … orial.html
http://ipset.netfilter.org/iptables-extensions.man.html
http://ipset.netfilter.org/ipset.man.html

morfik's Strona