Názory k článku
Jak blokovat Facebook firewallem

Proč tak složitě? Navíc toto blokování není moc efektivní. Pokud vůbec něco zablokuje, tak to bude to, že po pár minutách přestane fungovat chat a některým lidem nepojede vůbec. Zatím se mi nepodařilo odpojit ten FB úplně a všem. Osobně používám tento styl:
iptables -N FCB
iptables -A FORWARD -d 66.220.144.0/20 -j FCB
...
iptables -A FCB -j DROP

Ano, to má takovou "menší" vadu, že například váš komentář byste z vaší sítě vůbec neodeslat. "Skvělá" metoda.

Ne, kdyz prohlizec komunikuje s web serverem pres gzip.

Navíc Facebook už tak od začátku roku komunikuje přes HTTPS :-)

Mam taky dojem, ze to zablokuje akukolvek URL, v ktorej sa slovo "facebook" nachadza, napriklad aj tuto stranku.

http://www.root.cz/zpravicky/jak-blokovat-facebook-firewallem/415440/odpovedet/

Nejen URL, ale i jakýkoli packet obsahující (case sensitive, malými písmeny) string "facebook", klidně i tuto webovou stránku, resp. její část, což způsobí poškozený TCP stream a v důsledku "Connection was reset" hlášku prohlížeče při pokusu zobrazení čehokoli se stringem "facebook".

Blokace stringu "facebook" (case insensitive, je na to přepínač u string matche myslím) v DNS packetech může už mít smysl, nezabrání však dostupnosti FB přes většinu webových proxy serverů. Ani kombinace s transparentní webovou proxy není ideální - jednak jede facebook přes SSL, jednak některé (i CGI) proxiny umí samy o sobě šifrovat přenesený obsah.

Přišel jsem časem na to, že nejlepší řešení není bojovat s uživateli, ale domluvit se s nimi (ve firmě / škole). Umožnit jim přístup na facebook jen v určitých přestávkách, důrazně je varovat, ať nechodí na facebook jindy a logovat přístupy mimo "přestávky" (s rezervou). Méně znalí uživatelé si dají po osobním varování pozor, více znalí už od začátku tunelují domů přes openvpn (SSL) na portu 443.

Naprosté většině uživatelů nestojí obcházení tohoto omezení za tu námahu, prostě si počkají na další "přestávku".

proč chcete blokovat Facebook? To nevíte, jak je pro ovečky traumatyzující nemoci napsat, jak se sedělo na hajzlíku? :-D

*traumatizující ... kdo to psal? :-D

Zřejmě se jednalo o skutečně tvrdé trauma. :-D

Dobrý nápad. Přidal jsem to do firewallu a konečně mi zmizely z navštěvovaných stránek otravné reklamy na f*ook.

Jen ty rozsahy adres jsem použil jiné (69.171.224.0-69.171.255.255).

Ještě se podobně zbavit šmírovačů typu *analytics* a ad* a některých vlezných (blikajících) reklam.

Neotravující reklamu nechávám - provozovatelé stránek musí být z něčeho živi.

a nebylo by ve firemnim prostredi jednodussi to resit pres zmenu nastaveni dns? s tim by slo i vic veci - presmerovat to na intranet s pripravenou strankou ze fb je blokovan a pozadavek byl zalogovan..., nebo udelat fake stranku fb klidne i https, s nejakym phishingem a lidem kteri zkusi pristoupit na fb rovnou profil smazat nejakym skriptem :-D (ne to posledni by byla svinarna).
Nebo obecne vsechno strkat pres transparentni proxy a acl na squidu/podobnem... Pak to muze byt treba spojene i s tim, ze na obedovou pauzu jim fb povolite... precijen ruzne studie rikaji, ze zamestnanci jsou spokojenejsi kdyz si mohou obcas browsnout soukrome...
iptables bych resil asi taky pro frikuliny, kteri by vkladali do prohlizece primo ipcko (nevim jestli se tak lze dostat na fb, nezkousel jsem)

facebook je zlo, a zlo se musi potirat :) nikdo v zivote me nedonuti tam mit ucet, facebook blokuji pomoci lokalni proxy privoxy. jediny smutny na tom je ze obcas jako programator webovych stranek zapnout kvuli nejakemu klientovi.

jinak pro ne moc zkusene uzivatele co otravuje facebook a ostatni reklamy noscript a adblock pro firefox funguji vytecne. vim ze je to trosku off-topic, ale kdyz tydle dve rozsireni vypnu tak bych z toho do slova blil.

+ghostery ;-)

>> mobily

GSM rusicku na ne!

>> dns poisoning / iptables

Kdyz uz nejde DNS (nemate nad nim kontrolu atd) a musi byt drop IP, nejake staticke prefixy vycucane z prstu je polovicate az zhovadele reseni - doporucuji spise stahovat prefixy celeho jejich AS, ale i tak fuj.

Jinak to chce zakazat jeste icq, skype, jabber ... no vetsi molochy to resi proste tak ze jediny co useri maj je email.

PS: kolik lidi zna http://www.v6.facebook.com? Nezapominat na teredo :)

... nejake staticke prefixy vycucane z prstu ...

Cucat prsty není třeba, stačí pár dotazů na subdomény in-addr.arpa. pomocí programu dig. Pokud je nameserver cokoliv.f*ook.com, tak se daný rozsah zablokuje.

dig c.b.a.in-addr.arpa. NS

a,b,c jsou čísla z IPv4 adresy a.b.c.d

Místo DROP dávám REJECT --reject-with icmp-admin-prohibited, aby to nebrzdilo načítání zbytku stránky.

Dropovat packety je blbost. Tohle reseni je dmnce.
Uz vidim, jak se zpomali nacitani stranek s blbym like tlacitkem.
A jak si uzivaci stezuji na pomaly net... ale pokud admin prisel na takoveto uzasne reseni, tak at si tu smrst vyzere :).

+1 Packety se rejectují. Dropování je hovadina, která nemá opodstatnění (ne, skenování portů to nezpomalí).

Když si všichni stejně můžou prohlídnout Facebook na svém mobilu?

Zdravím máte nějaké tipy jak blokovat FB aby se nedalo pristupovat pomoci https? (win server07 , FW kerio). Diky