Bloquear mensajero Whatshapp con el cortafuego Shorewall e Iptables en Linux.

whatsappUnos de los servicios de mensajería de moda en estos tiempos es el Whatsapp, el cual nos permite comunicarnos por medio de nuestro celular o por nuestro PC con nuestros contactos a través de los números telefónicos que tengamos registrado. Dentro de una red normal esto es muy bueno, pero una red corporativa (de trabajo) es una gran distracción para los empleados, así que hay una forma de poder evitar este servicio dentro de la red.


Para poder bloquear el servicio de Whatsapp necesitamos cerrar tanto el tráfico como el puerto que usa para poder lograrlo.

Bloqueado con el servicio Shorewall (firewall)

Bloqueamos todos los CIDR de Whatsapp, dentro del directorio Shorewall editamos dos ficheros, el fichero PARAMS colocamos los datos del equipo:

Cargamos el fichero:

vim /etc/shorewall/params

Dentro colocaremos la lista de IP de servidores que usa el Whatsapp para realizar el servicio:

LOCAL="192.168.1.10"
IP_WHATSAPP="31.13.65.49/32,31.13.66.49/32,31.13.69.240/32,31.13.70.49/32,31.13.71.49/32,31.13.73.49/32,31.13.74.49/32,31.13.76.81/32,31.13.77.49/32,50.22.75.192/27,50.22.93.192/27,50.22.198.204/30,50.22.210.32/30,50.22.210.128/27,50.22.225.64/27,50.22.235.248/30,50.22.240.160/27,50.23.90.128/27,50.97.57.128/27,75.126.39.32/27,108.168.174.0/27,108.168.176.192/26,108.168.177.0/27,108.168.180.96/27,108.168.254.65/32,108.168.255.224/32,108.168.255.227/32,158.85.0.96/27,158.85.5.192/27,158.85.46.128/27,158.85.48.224/27,158.85.58.0/25,158.85.61.192/27,158.85.224.160/27,158.85.233.32/27,158.85.249.128/27,158.85.249.224/27,158.85.254.64/27,169.53.29.128/27,169.53.250.128/26,169.54.2.160/27,169.54.210.0/27,169.54.222.128/27,173.192.162.32/27,173.192.219.128/27,173.192.222.160/27,173.192.231.32/27,173.193.205.0/27,173.193.230.96/27,173.193.230.128/27,173.193.230.192/27,173.193.239.0/27,174.36.208.128/27,174.36.210.32/27,174.36.251.192/27,174.37.199.192/27,174.37.215.28/30,174.37.217.64/27,174.37.231.64/27,174.37.243.64/27,174.37.251.0/27,184.173.73.176/28,184.173.136.64/27,184.173.147.32/27,184.173.161.64/32,184.173.161.160/27,184.173.173.116/32,184.173.179.32/27,184.173.195.32/27,184.173.201.32/27,184.173.204.32/27,184.173.250.53/32,192.155.212.192/27,198.11.193.182/31,198.11.212.0/27,198.11.217.192/27,198.11.251.32/27,198.23.80.0/27,198.23.86.224/27,198.23.87.64/27,208.43.115.192/27,208.43.117.79/32,208.43.117.136/32,208.43.122.128/27"

La variable LOCAL tendremos registrados las direcciones IP de los equipos que deseemos darle acceso a este servicio y la variable IP_WHATSAPP tendrá las (CIDR) direcciones IP públicas del Whatsapp para conectarse a sus servidores.

El siguiente fichero a editar es RULES dentro del mismo directorio de Shorewall, dentro colocamos la regla para bloquear el destino de estas direcciones en el puerto de seguridad 443 (https).
Cargamos el fichero:

vim /etc/shorewall/rules

colocamos el siguiente código:

ACCEPT loc:$LOCAL net:$IP_WHATSAPP tcp 443
DROP:info loc:!$LOCAL net:$IP_WHATSAPP tcp 443

El cual significa: Aceptar el puerto de seguridad (https/443) de la red local (loc) ÚNICAMENTE los equipos en la variable “LOCAL” hacia el Internet (net) que se encuentren en el segmento de IP público de la variable “IP_WHATSAPP”.

Después: Denegar el puerto de seguridad (https/443) de la red local (loc) MENOS los equipos en la variable “LOCAL” hacia el Internet (net) que se encuentren en el segmento de IP público de la variable “IP_WHATSAPP”.

En las versiones 4.4 o superior se pueden usar las macros y usar la siguiente regla:

HTTPS/ACCEPT loc:$LOCAL net:$IP_WHATSAPP
HTTPS/DROP:info loc:!$LOCAL net:$IP_WHATSAPP

Y bloqueamos el tráfico XMPP de salida:

DROP loc net tcp 5222

Estar atentos a las actualizaciones de los CIDR de Whatsapp para poder bloquearlos en el enlace: https://www.whatsapp.com/cidr.txt

 


 

Bloqueando con reglas IPTABLES

Bloqueamos el tráfico XMPP de salida:

iptables -A FORWARD -p tcp --dport xmpp-client -j DROP

Seguidamente bloqueamos todo el CIDR de whatsapp hacia el puerto 443 (https).

iptables -A FORWARD -p tcp -d 31.13.69.240/32 --dport 443 -j DROP
iptables -A FORWARD -p tcp -d 31.13.65.49/32 --dport 443 -j DROP
iptables -A FORWARD -p tcp -d 31.13.66.49/32 --dport 443 -j DROP
…..

De esta forma iremos colocando cada IP de la lista.

La lista de CIDRS de Whatsapp lo encontrarás en el enlace ya mencionado.

 

 

Fuente: www.vivaolinux.com.br

Deja una opinión

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s