bloquear facebook en ie, firefox y chrome por https

Bloquear facebook en internet explorer, mozilla o chrome Mi jefe me puso de tarea bloquear las paginas de los empleados...esas paginas que nos entretienen mucho (sexo, porno) e igual que el grandioso facebook. eso si iba a doler para mis compañeros...ni modos me toco hacer el papel del villano... yo dije si...claro..ya tenia idea de como hacerlo en la univesidad hice un proyecto similar con squid e iptables (firewall en linux). configure squid y wuala funcionaba de forma exelnte en forma transparente para bloquear las busquedas por palabras no deseadas...esa parte no importa mucho ya que en google se encuentran manuales varios manuales bien explicados...... despues quise bolquear facebook.....por squid....mmmmmm malas noticias....nose podia, por el dichoso protocolo de ssl....o la famosa conexion segura (https).... en esos tiempos no existia o no eran muy usados esos tipos de conecxiones. yo solo use iptables para compartir internet y redirigir la conexion de mis clientes al servidor proxy para filtrar las peticiones de mi maquina cliente y negar el acceso a las paralabras no deseadas....entonces iptables me sirvio para mas... en otras palabras tendria que bloquear facebook por reglas de iptables. ########################################################################################## busque en google.....y wuala encontre estas reglas: #bloqueo facebook en mozilla y google chrome iptables -I FORWARD -p tcp --dport 443 -m string --string "facebook" --algo bm -j DROP iptables -A FORWARD -p tcp -m string --string "facebook.com" --algo kmp -j DROP con estas reglas se puede bloquear el youtube en estos navegadores solo cambia la cadena: facebook.com por youtube.com o alguna otra pagina que use el puerto 443 ###################################################################################### ahora yo pense que ya estaba resuelto el asunto. Vengo y abro el navegador internet explorer en su version 10 y diablos....que mando al diablo las reglas de iptables y entro al facebook........... ######################################################################################################################## entoces decidi bloquarlo por ip.....pero en google, en varias paginas me decian que eran por rangos de ip (obvio verdad y yo no lo pude deducir).....bueno pues comence a buscar los rangos de ip de esa pagina....la mayoria no me funcionaban.....................busque y busque......hasta que en esta pagina: http://blog.sugeek.co/2013/06/rango-ips-facebook-y-otros-sitios.html me indicaron los verdaderos rangos, bueno almenos son los que a mi me funcionan: 31.13.64.1/20 66.220.144.0/20 69.63.176.0/20 69.171.239.12 69.171.255.12 204.15.20.0/20 173.252.100.27 173.252.110.27 173.252.112.23 173.252.112.24 ############################################################################################################ comence a ver la luz....esas son las ip de los servidores de facebook...con la mascara que me dan se calcula el rango de host......por ahi encontre esta pagina muy util para calcular el rango agregando la mascara. http://www.calculadora-redes.com/ipcalc.php ...solo agregas la ip y la mascara y te da el rango con la informacion que nos da esta calculadora de red aplicamos la siguiente regla en iptables tomando de ejemplo la primer ip de la lista anterior 31.13.64.1/20: iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 31.13.64.1-31.13.79.254 -j REJECT y asi se haran con todas las ip antes mencionadas....pero que pasa con las ip's que no tienen mascara pues yo soy muy flojo......y no quise escribir de mas. asi que escribi la misma ip en los dos extremos ejemplo con esta ip 69.171.239.12: iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.171.239.12-69.171.239.12 -j REJECT ####################################################################################################### la verdad no tenia tiempo y soy novato en esto de iptables. El proyecto lo tenia que presentar ese mismo dia a mi jefe. en conjunto mi fichero donde estan las reglas de iptables es el siguiente: #################################################################################### REROUTING ACCEPT [2530:278061] OSTROUTING ACCEPT [89:5620] :OUTPUT ACCEPT [2401:177837] ####proxy##### -A PREROUTING -s 10.42.43.0/24 -i wlan0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -i wlan0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT *filter :INPUT ACCEPT [30509:19022728] ORWARD ACCEPT [11847:5713965] :OUTPUT ACCEPT [29445:9209851] :NOFBHTTPS - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -s 192.30.20.0/24 -i eth0 -j ACCEPT -A INPUT -s 192.30.20.0/24 -i wlan0 -j ACCEPT -A INPUT -s 192.30.20.0/24 -i wlan0 -j ACCEPT -A FORWARD -p tcp -m tcp -m iprange --dst-range 173.252.112.24-173.252.112.24 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 173.252.112.23-173.252.112.23 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 173.252.110.27-173.252.110.27 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 173.252.100.27-173.252.100.27 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 204.15.16.1-204.15.31.254 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 69.171.255.12-69.171.255.12 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 69.171.239.12-69.171.239.12 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 69.63.176.1-69.63.191.254 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 66.220.144.1-66.220.159.254 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 31.13.64.1-31.13.79.254 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp -m iprange --dst-range 173.252.64.0-173.252.127.255 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p tcp -m tcp --dport 443 -m string --string "facebook.com" --algo bm --to 65535 -j DROP COMMIT ###############################################################################################################################3 la palabra wlan0 es la tarjeta de red de nuestra maquina donde se conectan nuestros clientes en mi caso la maquina que me ayuda hacer pruebas. y la que dice eth0 es la que me da acceso a internet. no es importante entrar en detalle pues en google se encuentra mucha informacion sobre esto. otra parte importante del fichero es donde dice #########proxy######### si tienes instalado uno, te ayudara esa regla para enviar las consultas web a ese servidor. el proxy esta de forma transparente. para que me ayude a negar las paginas por medio de palabras tambien agregue ahi mismo la palabra facebook.....por si la dudas y con esto pude presentarle la prueba del proyecto a mi jefe. nose nada de esto pero gracias a google....y blogs de personas duchos o chingones en este tema pude salir adelante....gracias a ellos. nos vemos bye