Merhaba bir sorunum var.
https üzerinden facebook.com adresine gidiyorlar, nasıl kapatabilirim?

soruldu 16 Kas '11, 09:07

can's gravatar image

can
128
kabul oranı: 0%


caglar arkadaşımızın yazdığı cevap aslında geçerli bir cevap.
Ancak bu şekilde yapıldığında bütün https trafiği filtreleniyor.
sednateknoloji'nin yazdığıı cevapta doğru bir cevap.

Ancak ben sizi direkt sonuca götüreceğim :)

İsterseniz sadece facebook için https filtrelemeyi açabilirsiniz veya istediğiniz sayfalar için.

Bende bir kaç tane sayfa için yapılmış durumda ancak ben size sadece facebook için nasıl yapabilirsiniz onu anlatacağım diğerlerini de zaten siz buna bakarak ekleyebilirsiniz.

Aşağıda facebook ip blokları yer almakta.

Bu ip bloklarını https filter işlemine tabi tutacağız.

Facebook networks :
66.220.144.0/255.255.240.0
69.171.224.0/255.255.224.0
69.63.176.0/255.255.240.0
95.100.0.0/255.254.0.0
88.221.32.0/255.255.252.0
92.122.212.0/255.255.252.0
93.123.37.0/255.255.255.0
2.20.181.0/255.255.255.0
31.13.64.0/255.255.192.0
173.252.64.0/255.255.192.0

Yapılacak işlem çok basit.

Yukarıdaki facebook networklerini labrise tanımlamak ve filtreye dahil etmek.

Bunun için
LMC>GüvenlikDuvarı>Nesne>Yeni>Nesneler>Ag
Denir.

Sırasıyla yukarıdaki networkler eklendir.
Her birisi için isim olarak face1 face2 gibi isimler verebilirsiniz.

Daha sonra oluşturduğumuz bu ağları bir grup oluşturup ona atabiliriz.

LMC>GüvenlikDuvarı>Nesne>Yeni>Nesneler>grup
Şeklinde. Grup ismi olarak "https_filter" diyebilirsiniz.

Oluşturduğumuz face1 face2 isimli networkleri (sol taraftaki nesneler altında ağlar altında kullanıcı tanımlı altından ) kopyalayıp ( aynı anda 10 tane kopyalayabilirsiniz) oluşturduğumuz grup içerisine sağ klik yaparak yapıştırıyoruz. (nesneler altında nesne grupları altında kullanıcı tanımlı altında- Grubu seçtinten sonra sağ tarafta grup penceresi içerisine yapıştırılır. uygula denir.)

Daha sonra bu resimdeki "0" nolu https kuralındaki esas hedef kısmına oluşturduğumuz grubu sürükleyip bırakıyoruz.
Bu sayede sadece facebook adresleri için https filtreyi aktif etmiş olacağız.

En sonra kuralları aktif etmek için KUR-KAYDET-POLITIKAYI KUR diyoruz.

alt text

kalıcı link

yanıtlandı 23 Şub '12, 13:42

ahmet's gravatar image

ahmet
2233
kabul oranı: 19%

düzenlendi 24 Ara '12, 10:03

Merhaba,

Her iki şekilde de, sistemsel olarak bir takım artılar ve eksiler ortaya çıkmakta. Bu tür durumlarda benim yaptığım şey genellikle biraz daha farklı. Webfilter'dan (yani http'den - TCP/80 no'lu port) Facebook'a erişilmesini engellemek için ilgili engellemeleri yaptığımızı düşünüyorum. Ayrıca, diğer açıklamalardaki işlemleri de yaptığınızı farz ediyorum. Bu halde yine Facebook.com'a https'ten erişim sağlanabiliyor. Sebebi ise, her hangi bir proxy yazılımı kullanılarak ilgili sunuculara https'ten giden trafiğin engellenememesi. Ben ise şu şekilde çözüyorum bu sorunu;

Öncelik,e tüm facebook subnet'lerini buluyoruz. Bunun için;

1: SSH ile komut satırı kullanarak:

Ssh ile mevcut Labris Güvenlik Duvarı cihazımıza bağlanıp; nslookup komutunu çalıştırıyor ve ardından; faceboom.com yazarak enter'a basıyoruz. Netice olarak karşımıza şu ve benzeri bir çıktı üretilir;

[[email protected] ~]# nslookup

facebook.com

Server: 127.0.0.1

Address: 127.0.0.1#53

Non-authoritative answer:

Name: facebook.com

Address: 69.171.224.11

Name: facebook.com

Address: 69.171.229.11

Name: facebook.com

Address: 66.220.149.11

2: Komut satırıyla uğraşmayayım diyenler için internet üzerinden hizmet veren bir siteden faydalanmak;

http://domaintoip.com/ip.php adresine giriyoruz ve Domain yazan yere facebook.com yazıp "Get Ip Address(es) butonuna basıyoruz. Netice olarak karşımıza şu ve benzeri bir çıktı üretilir;

69.171.224.11

IP Address WhoIs Information

Query terms are ambiguous. The query is assumed to be:

"n 69.171.224.11"

Use "?" to get help.

Bu sitede aşağılara indikçe; 69.171.229.11, 66.220.149.11 gibi IP'leri çözecektir.

Bu noktada bizim yapacağımız önemli bir nokta var ki, o da IP yerine subnet'e, yani; 69.171.224.11 yerine 69.171.224.0'a giden https trafiğine engel olmak. Aksi taktirde, şu an ilgili IP'leri çözen DNS sunucusu, ilerleyen zamanlarda örneğin 69.171.224.11 yerine 69.171.224.12'yi çözdüğünde, yazdığımız kural güncel IP'yi kapsamadığından dolayı işimizi görmeyecektir.

Bu noktadan devam edecek olursak, elimizde aşağıdaki 3 subnet bulunmakta;

66.63.0.0 (Bu subnet'i başka bir şekilde elde etmiştim. DNS v.s. sorgusu yapıldığında çoğu zaman bu subnet'i çözmüyor. Ancak zaman zaman kullanıldığını gördüğüm için buraya ekledim.)

69.171.224.0

69.171.229.0

66.220.149.0

Yukarıdaki subnet'leri;

Güvenlik Duvarı modülü > Nesneler > Ağlar > Kullanıcı Tanımlı'ya sağ tuş tıklayarak "Yeni Ağ Ekle"yi seçerek oluşturuyoruz. Ben standart olsun diye genellikle şu şekilde isim veriyorum;

Facebook_66.63.0.0

Facebook_66.220.149.0

Facebook_69.171.224.0

Facebook_69.171.229.0

Bu objeleri oluşturduktan sonra, Genel Politika ekranı kalabalık durmasın diye;

Güvenlik Duvarı modülü > Nesneler > Nesne Grupları > Kullanıcı Tanımlı'ya sağ tuş tıklayarak; "Yeni Nesne Grubu Ekle"yi seçerek "Facebook_Subnets" adlı bir grup oluşturup, yukarıdaki dört nesneyi bu gruba ekleyip, aşağıda anlatımı bulunan kurala ekliyoruz;

  1. Kural : Genel Politika'ya şu şekilde yeni bir kural ekliyoruz;

Kaynak : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Hedef : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Servis : http İşlem : Accept

  1. Kural : Genel Politika'ya şu şekilde yeni bir kural ekliyoruz;

Kaynak : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Hedef : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Servis : http İşlem : Accept

  1. Kural : Genel Politika'ya şu şekilde yeni bir kural ekliyoruz;

Kaynak : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Hedef : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Servis : Any İşlem : Deny

  1. Kural : Bu kuraldan sonra şu şekilde yeni bir kural daha ekliyoruz;

Kaynak : Facebook_Subnets (yukarıdaki objeleri oluşturduktan sonra, bu objeleri eklediğimiz grup objesi) Hedef : Yerel_Ag (ya da sizin engellemek istediğiniz ağ hangisi ise onu ekliyorsunuz) Servis : Any İşlem : Deny

Oluşturduğumuz bu kurallar neticesinde; Facebook'a doğru giden trafik eğer TCP/80 - http ise izinli, bunun haricindeki hiç bir porttan erişilmeyecek şeklinde bir kural yazmış oluyoruz.

Bu kuralı tweeter.com, live.com ve bunlar gibi diğer sosyal paylaşım siteleri için de yapabilirsiniz. https'ten erişime izin verilmediği için, bankalar, https üzerinden çalışan devlet siteleri v.s.'ler için, her defasında ayrı bir NAT Politikası ve Genel Politika kuralları yazmanıza gerek kalmıyor. Sadece engellemek istediğiniz Facebook.com, Tweeter.com ve Live.com için bu kuralları yazmanız yeterli. Yukarıda bahsi geçen kural şu anda 15'ten fazla kurumsal müşterimde sorunsuz şekilde çalışmaktadır.

kalıcı link

yanıtlandı 23 Şub '12, 13:10

sednateknoloji's gravatar image

sednateknoloji
24113
kabul oranı: 5%

Aşağıdaki bir yapıda https ile facebook'a giriş engellenmiştir. Fakat SSL Proxy kuralı ile çalıştığı için, Web Tarayıcılarımıza Proxy tanımlaması yapılması gerekmektedir. Labris'in IP'sini ve 8080 portu tanımlanmalıdır.

alt text

kalıcı link

yanıtlandı 03 Oca '12, 13:37

caglar's gravatar image

caglar
1663
kabul oranı: 41%

Arkadaşlar bu kural çalışmasında problem yaşanmıyor ama yazdığı gibi proxy kullanmanız lazım. Eğer proxy kullanmadan enlellemeye çalışırsanız https olan tüm sertifikalı sitelere girmekte sorun yaşayacaksınızdır. Başımıza geldiği için biliyorum :). Proxy kullanarak çalışmanız mümkün değilse, facebook'u 3.party bir yazılımlada engelleyebilirsiniz. Ben bu şekilde çözdüm 1500 bilgisayarda sorunsuz çalışıyor. Programın linkini verebilirim isterseniz. Tüm Sistemci arkadaşlara iyi çalışmalar.

Not: Kural olarak forumda link vermek yasak mı? bilmiyorum. Eğer yasaksa mesaj olarak paylaşabilirim.

kalıcı link

yanıtlandı 19 Oca '12, 10:48

serkansancar's gravatar image

serkansancar
262
kabul oranı: 20%

düzenlendi 19 Oca '12, 10:53

Selamlar.
Ben https filter kullanıyorum. Bu sistem https trafiğini filtrelediği için mecburen bir sertifika hatası verecektir.
Çünkü filtrelenen protokol şifreli bir protokol.
Bu sistemi devreye aldığımızda birkaç tane sayfada sorun oldu.
Ama destekteki arkadaşlardan yardım aldığımda bu sitelere özel nasıl tanım yapılacağını gösterdiler.
Zaten sorun yaşanılan sayfalar da bu sistem dışına alınmasında sakınca olmayan sayfalar.
Bu şekilde sorun yaşanabilecek 10 15 sayfa oluyor. Bunlar da dediğim gibi özel tanımlar ile çözülebiliyor.
Bir kere bu ayarları yapıyorsunuz. Sonrasında benim gibi rahat ediyorsunuz.

Yukarıdaki sistem Transparent Olarak Ayarlama ile ilgili yapılandırmayı anlatıyor.
Ek olarak proxy olarak kullandığınızda https sitelerde sertifika hatası almazsınız.
Yapılandırmanıza bağlı olarak bu iki seçenekten birini seçebilirsin.

Kolay Gelsin.

kalıcı link

yanıtlandı 29 Oca '12, 15:30

mehmet's gravatar image

mehmet
20113
kabul oranı: 31%

ÖENMLİ NOT:

Arkadaşlar, Kurulan cihazlarda her zaman aynı DNS sunucu adresleri yazılmamaktadır. Buna örnek olarak; ahmet arkadaşımızın yazdığı adresler:

Facebook networks : 66.220.144.0/255.255.240.0

69.171.224.0/255.255.224.0

69.63.176.0/255.255.240.0

95.100.0.0/255.254.0.0

88.221.32.0/255.255.252.0

92.122.212.0/255.255.252.0

93.123.37.0/255.255.255.0

2.20.181.0/255.255.255.0

31.13.64.0/255.255.192.0

Benim şu an itibariyle 195.175.39.39 Türk Telekom DNS sunucusu üzerinden nslookup komutu ile çözdürdüğüm adresler;

[[email protected] ~]# nslookup

facebook.com Server: 127.0.0.1 Address: 127.0.0.1#53

Non-authoritative answer: Name: facebook.com Address: 69.171.237.16 Name: facebook.com Address: 69.171.247.21 Name: facebook.com Address: 66.220.149.88 Name: facebook.com Address: 66.220.152.16 Name: facebook.com Address: 66.220.158.70 Name: facebook.com Address: 69.171.234.21

Görünen o ki; ahmet arkadaşımızın DNS sunucusunda, 69.171.229.11 ve 66.220.149.11 adresleri çözümlenmemiş görünüyor.

Bunun sebebi de şudur; Örneğin, ahmet arkadaşımızın bulduğu facebook subnetleri diyelim ki 8.8.8.8, 4.2.2.2 ve 212.252.114.8 ile 85.29.26.8 IP'li Superonline DNS sunucularında kayıtlı olan güncel DNS adresleri olsun.

Siz ahmet arkadaşımızın yaptığı gibi farklı bir DNS sunucunun üzerinde kayıtlı olan DNS adreslerini yazdığınızda, 69.171.229.11 ve 66.220.149.11 adreslerine DNS çözümlemesi yapıldığında hem http hem de https'ten facebook sunucularına erişmiş olacaksınız.

Sonuç olarak arkadaşlar; ancak ve ancak kendi makinanızdaki DNS sunucularının çözümlediği IP'leri bulup tam ve doğru bir sonuca ulaşabilirsiniz. Yoksa başka DNS sunucularının çözümlediği IP'leri kapatarak bu tür durumların üstedinden gelemezsiniz...

kalıcı link

yanıtlandı 17 Eyl '12, 10:34

sednateknoloji's gravatar image

sednateknoloji
24113
kabul oranı: 5%

Hocam selamlar. Söylediğiniz çok doğru ancak dikkatinizden kaçan bir şey var. Sizin vermiş olduğunuz ip adresleri benim vermiş olduğum ise network adresleri. Siz bu adresleri hesaplarsanız o ip adreslerini de kapsadığını göreceksiniz.

(17 Eyl '12, 10:48) ahmet

https ile giriş yapılan adreslerin Log kaydı tutuluyormu peki ? bilen varmı acaba..! Raporlamada bu adresler görünmüyormu? Kimlerin bu şekilde bağlantı yaptığını nasıl anlayabilirim?

kalıcı link

yanıtlandı 04 Eki '12, 07:05

monde's gravatar image

monde
11112
kabul oranı: 0%

Eğer filtreleme yapılıyor ise hem log hemde raporda görüntülenir.

(17 Oca '13, 10:14) ahmet

ahmet beyin anlatımı uyguladım, https üzerinden facebook erişimi blokluyorum fakat https://login.live.com adresinide blokluyor.Neden olabilir

kalıcı link

yanıtlandı 08 May '13, 12:46

yinkaya's gravatar image

yinkaya
11
kabul oranı: 0%

düzenlendi 08 May '13, 14:14

Yanıtınız
önizlemeyi aç/kapat

Soruyu takip edin

E-posta ile:

Giriş yaptığınızda buradaki tüm güncellemelere abone olabileceksiniz

RSS ile:

Yanıt

Cevaplar ve Yorumlar

Markdown Temelleri

  • *italic* or _italic_
  • **bold** veya __bold__
  • link:[metin](http://url.com/ "başlık")
  • resim?![alt metin](/path/img.jpg "başlık")
  • numaralanmış liste 1. Foo 2. Bar
  • to add a line break simply add two spaces to where you would like the new line to be.
  • temel HTML tagları desteklenmektedir

Soru etiketleri:

×17

soru soruldu: 16 Kas '11, 09:07

soru görüntülendi: 49,378 kere

son güncellenen: 08 May '13, 14:14

powered by OSQA