[FUG-BR] bloquear ultrasurf

Enio Marconcini eniorm em gmail.com
Quinta Novembro 3 20:10:02 BRST 2011


2011/11/3 Paulo Henrique - YM <paulo.rddck em yahoo.com.br>

> Em 03/11/2011 10:02, Enio Marconcini escreveu:
> > 2011/11/3 Analista Informatica - Destilaria Agua Bonita<
> > analistati em aguabonita.com.br>
> >
> >> ______________________ Luciano O. Bissoli - T.I. Destilaria Água Bonita
> >> Ltda. Fone/Fax: (18)3373-4400/4401 www.aguabonita.com.br
> >> analistati em aguabonita.com.br
> >> ----- Original Message -----
> >> From: "Paulo Henrique BSD Brasil"<paulo.rddck em bsd.com.br>
> >> To:<freebsd em fug.com.br>
> >> Sent: Wednesday, November 02, 2011 8:20 PM
> >> Subject: Re: [FUG-BR] bloquear ultrasurf
> >>
> >>
> >> Em 02/11/2011 21:03, vic escreveu:
> >>> Em Qua 02 Nov 2011 16:55:27 BRST, Paulo Henrique BSD Brasil escreveu:
> >>>> Tipo primeiro podemos fazer o seguinte.
> >>>>
> >>>> 1 - Disserte sobre o seu ambiente.
> >>>> 2 - Disponibilize informações técnicas como sistema operacional,
> >>>> firewall, método de configuração atualmente empregado.
> >>>> 3 - Esclareça ponto do seu ambiente no qual a configuração de um
> >>>> recursos possa interferir em outro ( https é um recursos complicado de
> >>>> gerenciar ).
> >>>>
> >>>> Se achou tudo isso muito complicado podemos simplificar  e pedir para
> >>>> você procurar no google, ou mesmo ler a maldita documentação que pelo
> >>>> visto você nem sabe da existência !!!
> >>>>
> >>>> Espero ter ajudado !!!
> >>>>
> >>>> Uma otima tarde !!! :P)>
> >>>>
> >>>> Em 02/11/2011 16:35, Flavio Souza escreveu:
> >>>>> Preciso bloquear o ultra surf, a questão é, vai ser preciso bloquear
> a
> >>>>> port
> >>>>> 443. qual seria a regra para bloquear? e depois como eu posso libera
> >> aos
> >>>>> poucos os sites que usa a mesma port e especificando o ip da rede
> >>>>> interna
> >>>>> para ter acesso?
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>> Paulo, não fale dessa maneira. Documentação é algo excelente!
> >>>
> >> Flávio, não leve a mal não quero fazê-lo passar por ridículo, é que de
> >> vez em quando aparece perguntas cujo já há exemplos na própria
> >> documentação, por isso pedi para lê-la.
> >>
> >> E outra aqui na FUG o pessoal é tranquilo, sossegado, amanhã talvez
> >> precisará usar as listas internacionais, lá o pessoal não é nada educado
> >> com relação de perguntas em que a própria documentação responde
> >> explicitamente.
> >>
> >> Outro fator interessante é aprender a perguntar, avalie a sua pergunta
> >> "Como bloquear o ultrasurf, vi que tem que bloquear a porta 443, como
> >> faço isso"
> >>
> >> Para não dizer que só falei e nada fiz vai ai as regras.
> >>
> >> IPFW+FreeBSD
> >> ipfw add 0001 deny all from any to any 443
> >>
> >> PF+FreeBSD/OpenBSD
> >>
> >> block quick in on $minha_intranet_interface inet proto tcp from any to
> >> ($minha_internet_interface) port 443 flags S/SA keep state
> >>
> >> IPTables+Linux
> >>
> >> iptables -A OUTPUT -t filter -d $minha_rede --dest-port 443 -j DROP (
> >> Verifique a sintaxe pois faz muito tempo que não o uso ).
> >>
> >> Espero ter ajudado !!! :D
> >>
> >> Vai por fé, faz a mesma pergunta na lista freebsd em freebsd.org e verá
> >> como será respondido.
> >>
> >> Se achar que não o pessoal da FUG, mais eu fui mal educado em pedir para
> >> você ler a documentação, creio que passou então da hora de lê-la.
> >>
> >> Att.
> >>
> >>
> >> --
> >> "Quando a Morte decide contar uma historia,
> >> A melhor ação que possa fazer é ouvi-la,
> >> e torcer por não ser a sua própria a tal história."
> >>
> >> Paulo Henrique.
> >> Analista de Sistemas / Programador
> >> BSDs Brasil.
> >> Genuine Unix/BSD User.
> >> Fone: (21) 9683-5433.
> >>
> >>
> >> Bom dia pessoal.
> >>
> >> Sem querer apimentar mais esse tópico. Estou com o mesmo problema aqui
> na
> >> empresa. Porem bloquear a porta 443 geral e liberar apenas para as
> maquinas
> >> que usa é complicado, pois não é só banco que utiliza essa porta. Existe
> >> uma
> >> maneira mais refinada de tratar o pacote do ultrasurf para não ter que
> >> bloquear a porta 443 geral?
> >>
> >> Att.
> >>
> >> Luciano O. Bissoli
> >> Analista Informatica - Destilaria Água Bonita
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> > nos meus testes eu notei que o ultrasurf usava a porta 443 e que todas as
> > conexões são destinadas a diversos IPs e não urls, consegui bloquear
> fácil,
> > sem bloquear a porta 443 (que na minha idéia iria causar mais dor de
> cabeça
> > para depois sair liberando os sites confiáveis)
> >
> > eu no meu caso uso um gateway freebsd com lusca(squid), e todas as
> conexões
> > passa por esse gfateway, consegui o bloqueio ao ultrasurf criando uma acl
> > dessa forma:
> >
> > acl ips_dst_liberados dst
> > "/usr/local/etc/squid/regras/ips_dst_liberados.txt"
> > acl blockip1 dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
> > acl blockip2 url_regex
> >
> ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
> > http_access allow ips_dst_liberados
> > http_access deny blockip1
> > http_access deny blockip2
> >
> > com isso eu bloqueio acesso aos ips, nos meus testes o ultrasurf não
> > conseguiu conectar, porém quando algum site busca algo via IP, preciso
> por
> > esse ip na lista dos liberados para passar, mas pelo menos achei mais
> fácil
> > que bloquear tudo e depois sair liberando sites de bancos e outros
> > confiáveis que usa 443
> >
> >
> Mais o proxy tem que ser setado no browser para funcionar, como
> transparente não dá certo.
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


é... aqui na empresa não fazemos nat (na realidade só é feito para algumas
portas ou ips de destino, tipo, caixa federal etc), tudo tem que passar
pelo squid, neste caso conseguimos tranquilamente... mas no caso de proxy
transparente, usa-se o firewall para fazer um redir da porta 80 para a
porta do proxy, por acaso se ajustasse um outro redir da porta 443 não
resolveria?

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>

*"UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things."
*


Mais detalhes sobre a lista de discussão freebsd