tentei fazer, mas não deu certo !!!
a regra state (-m state --state ESTABLISHED,RELATED) -bash: syntax error near unexpected token `-m'

Kleison, houve uma confusão na hora que o moderador ajustou o artigo.

Com relação ao iptables você só precisa adicionar a regra

iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "

e essa regra deve ficar antes da regra do modulo state (-m state --state ESTABLISHED,RELATED).

Se você não usa o modulo state no seu firewall basta colocar a regra como primeira.

Qualquer dúvida acessa o original http://www.dotsharp.com.br/linux/como-fazer-para-bloquear-ultrasurf-solucao-definitiva-iptables-fail...

abs

Muito bom o artigo, tomara que o governo chinês não leia .....

Fiz todos procedimentos com exceção do email e ao olhar o log aparece isso.

Restarting authentication failure monitor: fail2ban.
serverlinux:/etc/fail2ban/action.d# tail -f /var/log/fail2ban.log
2012-01-20 15:10:39,535 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-01-20 15:10:39,536 fail2ban.filter : INFO Set maxRetry = 6
2012-01-20 15:10:39,538 fail2ban.filter : INFO Set findtime = 600
2012-01-20 15:10:39,539 fail2ban.actions: INFO Set banTime = 600
2012-01-20 15:10:39,659 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-01-20 15:10:39,661 fail2ban.jail : INFO Jail 'ssh' started
2012-01-20 15:10:39,684 fail2ban.actions.action: ERROR iptables -N fail2ban-ultrasurf
iptables -A fail2ban-ultrasurf -j RETURN
iptables -I INPUT -j fail2ban-ultrasurf
iptables -I FORWARD -j fail2ban-ultrasurf returned 400

O que seria essa falha?

Flavio, pode ser algum problema no arquivo /etc/fail2ban/action.d/iptables-ultrasurf.local

Recomendo que faça o download da configuração no link http://www.dotsharp.com.br/download/conf-fail2ban-ultrasurf.tar.gz

E compare com a sua para saber se existe algo errado.

Rodrigo

Excelente artigo,
Meus parabéns funciona!
Grande Abraço

Rodrigo

Caso o artigo precise de correções, descreva a página, como está e como quer que fique.
Envie para meu e-mail que farei as correções necessárias. OK?

E-mail em meu perfil.

Izaias,

Obrigado, eu enviei um email para o Leandro que fez a moderação inicial.

Vocês estão de parabéns.

Rodrigo

Ótimo!

Assunto resolvido.

Um abraço.

Estão de parabéns resolveu meu problema com o ultrasurf.

Boa Tarde,

Obrigado Rodrigo, deu certo.

Parabéns, bem melhor do que a solução que tinha proposto em um tutorial:
http://www.vivaolinux.com.br/artigo/Bloqueando-o-UltraSurf-e-o-WebMessenger-do-Hotmail-com-Proxy-Tra...

Muito simples e eficaz, testado e aprovado.

Rodrigo,

Percebi que o erro que relatei acima, aparece quando acrescento a linha para envio de email.

Não consegui fazer funcionar com os dois "banaction" se ele barra não envia email, se envia email não barra, se coloco os dois juntos ele retorna o erro.

O que poderia ser.

Abraço.

Muito boa a solução, quem sabe poderei testar em outro ambiente de trabalho, aqui o pessoal já comprou uma aplicação absurdamente cara para isso. ;(

É Jefferson, infelizmente na maioria das vezes só somos consultados quando já é tarde.

Flavio, te mandei uma mensagem em pvt.

Valeu Irineu, grande abraço.

Obrigado Deivid.

Boa tarde Galera !

ótimo post Rodrigo, gostaria de parabenizá-lo, queria perguntar se funciona para todas as versões do ultrasurf até a 11.03 que vc testou, ainda ñ tive tento de implementar sua dica, más fica essa pergunta, se alguém poder responder !

Valew !

Caro Jorge.

Eu fiz o teste com a versão 11.03 do UltraSurf, porém deve funcionar em todas.

Eu recebi diversos email de pessoas falando que estão usando e que está dando certo.

abs,

Rodrigo

Eh isso ai rodrigo, o que vale não é apenas o conhecimento técnico para resolver e sim as idéias utilizando ferramentas boas e omelhor voce tem os dois conhecimento técnico e boas idéias, essa foi uma idéia bem opensource. Está de parabéns !

Gostei dessa opção, muito boa por sinal. Pena q num dá pra testar no meu ambiente de produção pq aki não mexe com proxy transparente...

Bom dia,
parabéns pelo tutorial. Execultei todo tutorial que é bem claro mas, eu estou com algumas dificuldades, pois não consegui fazer funcionar. Este e o log do fail2band abaixo e também quando olho no status do programa ele está com falha e não faz bloquei nenhum. Utilizo: Debian Linux servidor 2.6.32-5-amd64 #1.
___________________________________________________

root@servidor:~# /etc/init.d/fail2ban status
Status of authentication failure monitor:fail2ban is running
___________________________________________________

root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-13 10:18:12,535 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,535 fail2ban.actions: INFO Set banTime = 900
2012-06-13 10:18:12,538 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-13 10:18:12,539 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-13 10:18:12,539 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-13 10:18:12,539 fail2ban.filter : INFO Set maxRetry = 6
2012-06-13 10:18:12,540 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,540 fail2ban.actions: INFO Set banTime = 600
2012-06-13 10:18:12,609 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-13 10:18:12,611 fail2ban.jail : INFO Jail 'ssh' started
_______________________________________________________

Grato.

Opa Regis, tudo bem?

No /var/log/messages o iptables está gravando os logs dos acessos?

Pode ser algum detalhe no iptables, me manda o /var/log/messages que vamos tentando resolver juntos.

abs,

Rodrigo

Bom dia, Rodrigo.
O log está ai, pelo que vi realmente não está armazenando os logs do iptables.
Também postei meu firewall para você ver se está errado.


root@servidor:~# tail -f /var/log/messages
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:42 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:44 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
__________________________________________________________________________________________________________________________

#!/bin/sh
# Configuracacao Firewall

iniciar() {
interfaceWAN=eth0
interfaceLAN=eth1
ipRede=192.168.10.0/24
dns1=192.168.10.1
dns2=201.10.128.3
dns3=201.10.120.3
ListMACs=/usr/local/MACList

echo "|> Ativando novas regras de firewall..."

echo "|-->> Compartilhando a conexão com a Internet..."
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $interfaceWAN -j MASQUERADE

# Redirecionando requisição para um host da rede local
# iptables -t nat -A PREROUTING -i $interfaceWAN -p tcp --dport 5900 -j DNAT --to-dest 192.168.1.100:5900

echo "|-->> Gerando log do UltraSurf..."
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "

echo "|-->> Bloqueando ataques mais conhecidos..."
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

echo "|-->> Bloqueando scanners de portas..."
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

echo "|-->> Bloqueando downloads de redes P2P..."
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j LOG --log-legel 1 --log-prefix "Acesso P2P: "
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT

#echo "|-->> Limitando conexões simultâneas..."
#iptables -v -t mangle -A CONNLIMIT -p tcp -m connlimit –connlimit-above 17 –connlimit-mask 32 -j DROP

echo "|-->> Liberando acesso sem proxy à Internet para a(s) máquina(s)..."
for i in `cat $ListMACs | egrep -v "^[#;]"`; do
proxyObrigatorio=`echo $i | cut -d ';' -f 2`
mac=`echo $i | cut -d ';' -f 3`
maquina=`echo $i | cut -d ';' -f 5`
if [ $proxyObrigatorio = 1 ]; then
echo -e "|--|--> $mac - $maquina"
iptables -A FORWARD -j ACCEPT -m mac --mac-source $mac -p tcp --dport 80
iptables -A FORWARD -j ACCEPT -m mac --mac-source $mac -p tcp --dport 443
fi
done

echo "|-->> Bloqueando acesso à Internet para as demais máquinas sem proxy..."
iptables -A FORWARD -j DROP -s $ipRede -p tcp --dport 80
iptables -A FORWARD -j DROP -s $ipRede -p tcp --dport 443

echo "|-->> Liberando acesso para a interface de loopback..."
iptables -A INPUT -i lo -j ACCEPT

echo "|-->> Liberando acesso SSH..."
iptables -A INPUT -p tcp --dport 2223 -j ACCEPT

echo "|-->> Controlando acesso à rede para os endereços:"
for i in `cat $ListMACs | egrep -v "^[#;]"`; do
status=`echo $i | cut -d ';' -f 1`
mac=`echo $i | cut -d ';' -f 3`
maquina=`echo $i | cut -d ';' -f 5`
if [ $status = 0 ]; then
echo -e "|--|--> LIBERANDO $mac - $maquina"
iptables -A INPUT -m mac --mac-source $mac -j ACCEPT
fi
if [ $status = 1 ]; then
echo -e "|--|--> BLOQUEANDO $mac - $maquina"
iptables -A INPUT -m mac --mac-source $mac -j DROP
fi
done

echo "|-->> Bloqueando acesso ao Windows Live Messenger..."
iptables -A FORWARD -p tcp --dport 1080 -j REJECT
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d loginnet.password.com -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d hotmail.com -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d hotmail.com.br -j REJECT
iptables -A FORWARD -i eth1 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -i eth1 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -i eth1 -d 64.4.13.0/24 -j REJECT
iptables -A FORWARD -i eth1 -d login.live.com -j REJECT
iptables -A FORWARD -i eth1 -d login.passport.com -j REJECT
iptables -A FORWARD -i eth1 -d gateway.messenger.hotmail.com -j REJECT

echo "|-->> Liberando acesso ao cliente de e-mail Outlook..."
iptables -A FORWARD -p udp -s $ipRede -d $dns1 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $ipRede -d $dns2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $ipRede -d $dns3 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $dns1 --sport 53 -d $ipRede -j ACCEPT
iptables -A FORWARD -p udp -s $dns2 --sport 53 -d $ipRede -j ACCEPT
iptables -A FORWARD -p udp -s $dns3 --sport 53 -d $ipRede -j ACCEPT

echo "|-->> Liberando acesso às portas 25 (POP3), 110 (SMTP) e 143 (IMAP)..."
iptables -A FORWARD -p TCP -s $ipRede --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 110 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 143 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 995 -j ACCEPT
iptables -A FORWARD -p TCP --sport 25 -j ACCEPT
iptables -A FORWARD -p TCP --sport 110 -j ACCEPT
iptables -A FORWARD -p TCP --sport 143 -j ACCEPT
iptables -A FORWARD -p TCP --sport 995 -j ACCEPT

echo "|-->> Liberando acesso ao servidor Samba apenas na rede local..."
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT

echo "|-->> Liberando acesso FTP..."
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack

echo "|-->> Bloqueando pings e protegendo contra IP spoofing e pacotes inválidos..."
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP

echo "|-->> Concluindo bloqueios de acesso, negando todas as demais portas..."
iptables -A INPUT -p tcp --syn -j DROP

echo "x> Regras de firewall ativadas!"
}

parar() {
echo "|> Desativando as regras de firewall..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F
iptables -X
echo 0 > /proc/sys/net/ipv4/ip_forward
}

case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*) echo "Parâmetro incorreto! Use start, stop ou restart"
esac
___________________________________________________________________________________________________________________________

Grato.

Regis, obrigado pelas informações.

Aparentemente está tudo certinho, só tenho uma sugestão

Adiciona no seu script as seguintes linhas

No começo da função PARAR

/etc/init.d/fail2ban stop

No começo da função INICIAR

/etc/init.d/fail2ban start


Me manda o resultado do comando

iptables -L FORWARD -nv


Você chegou a fazer teste com o ultrasurf na sua maquina?

Eu recomendo o seguinte teste

No servidor você roda o seguinte comando

tail -f /var/log/messages

Ele vai ficar monitorando o /var/log/messages e jogar o resultado na tela

Na sua maquina você abre o UltraSurf e verifica se ele será bloqueado ou não, vê o resultado do tail -f /var/log/messages se ele gravou alguma coisa lá.

abs,

Rodrigo

Opa, olha o resultado ai...
testei aki e deu certinho tá barrando mas não
mostra os logs no #tail -f /etc/var/fail2ban.

root@servidor:~# iptables -L FORWARD -nv
Chain FORWARD (policy ACCEPT 402 packets, 87275 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.183 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.167 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.151 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.135 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.151 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.135 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.183 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.167 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 50.57.34.52 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 192.168.1.0/24 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
719 157K fail2ban-ultrasurf all -- * * 0.0.0.0/0 0.0 .0.0/0
0 0 LOG all -- * * 0.0.0.0/0 65.49.14.0/2 4 LOG flags 0 level 4 prefix `=UltraSurf= '
90 19610 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
1 40 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 REJECT all -- * * 0.0.0.0/0 216.35.208.0 /24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 209.61.186.0 /24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 64.49.201.0/ 24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 209.25.178.0 /24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 206.142.53.0 /24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 213.248.112. 0/24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 64.245.58.0/ 23 reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:64:F0:C4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:64:F0:C4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:52:1C:BF tcp dpt:80
5 1970 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:52:1C:BF tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:33:4F:16:BD tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:33:4F:16:BD tcp dpt:443
15 11059 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:0E:09:F9:9D tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:0E:09:F9:9D tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC F4:8E:09:0B:CB:F3 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC F4:8E:09:0B:CB:F3 tcp dpt:443
70 19725 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:11:2F:C6:9F:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:11:2F:C6:9F:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC D8:75:33:C8:A2:86 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC D8:75:33:C8:A2:86 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:26:73:29:46:41 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:26:73:29:46:41 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC C8:9C:DC:48:20:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC C8:9C:DC:48:20:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 54:42:49:86:49:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 54:42:49:86:49:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 60:EB:69:2D:EE:13 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 60:EB:69:2D:EE:13 tcp dpt:443
113 15302 DROP tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:80
17 1168 DROP tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:443
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.76 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.97 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.13.0/24 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.16 9 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.17 7 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.17 9 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.10 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.17 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.19 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.10 7 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.13 6 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.96 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.52.62 reject-with icmp-port-unreachable
0 0 ACCEPT udp -- * * 192.168.10.0/24 192.168.10.1 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.0/24 201.10.128.3 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.0/24 201.10.120.3 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.1 192.168.10.0 /24 udp spt:53
0 0 ACCEPT udp -- * * 201.10.128.3 192.168.10.0 /24 udp spt:53
0 0 ACCEPT udp -- * * 201.10.120.3 192.168.10.0 /24 udp spt:53
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:995

Se está bloqueando ótimo, então está funcionando.

O log ficar em /var/log/fail2ban.log você colocou que tentou ver o log em /etc/var/fail2ban

Vai aparecer algo desse tipo

2012-06-12 22:10:22,023 fail2ban.actions: WARNING [ultrasurf] Ban 172.21.201.188
2012-06-12 22:40:22,319 fail2ban.actions: WARNING [ultrasurf] Unban 172.21.201.188
2012-06-15 08:25:08,624 fail2ban.actions: WARNING [ultrasurf] Ban 172.23.134.80
2012-06-15 08:55:08,836 fail2ban.actions: WARNING [ultrasurf] Unban 172.23.134.80

abs

Bom dia, Rodrigo.
O log que aparece em /var/log/fail2ban.log é este abaixo. Eu falei que estava
bloqueando, mas fui observar ele parou apenas meu computador quando tentei
acessar um site pelo ip 64.49.14.11:443, agora o computador de outros usuário
não barrou.
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-18 08:13:48,381 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,381 fail2ban.actions: INFO Set banTime = 900
2012-06-18 08:13:48,384 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-18 08:13:48,384 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-18 08:13:48,385 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-18 08:13:48,385 fail2ban.filter : INFO Set maxRetry = 6
2012-06-18 08:13:48,386 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,386 fail2ban.actions: INFO Set banTime = 600
2012-06-18 08:13:48,455 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-18 08:13:48,457 fail2ban.jail : INFO Jail 'ssh' started

Grato.

Opa Regis, tudo bem?

Não entendi, você usou o UltraSurf para fazer o teste ou digitou o endereço direto no navegador?

Você colocou as linhas abaixo no seu script?

No começo da função PARAR

/etc/init.d/fail2ban stop

No começo da função INICIAR

/etc/init.d/fail2ban start


abs

Belo artigo, parabéns Rodrigo!

Olhando no meu LOG do Fail2ban, ao achar o UltraSurf, dá a seguinte mensagem:

2012-06-25 08:14:49,098 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.0.118
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR iptables -n -L FORWARD | grep -q fail2ban-ultrasurf
iptables -n -L INPUT | grep -q fail2ban- returned 100
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-06-25 08:14:49,184 fail2ban.actions.action: ERROR iptables -D FORWARD -j fail2ban-ultrasurf
iptables -D INPUT -j fail2ban-ultrasurf
iptables -F fail2ban-ultrasurf
iptables -X fail2ban-ultrasurf returned 100
2012-06-25 08:29:49,249 fail2ban.actions: WARNING [ultrasurf] Unban 192.168.0.118

Testando, ele está fazendo o bloqueio, mas porque será q aparece estas mensagens de erro?

Bom dia, Rodrigo.
Eu digitei o endereço direto no navegador e ele bloqueou e fiz o teste com o programa e tmb funcionou.

Mas tem um usuário aqui que está conseguindo burlar com um plugin dentro do gmail,
se vc souber de alguma coisa assim me de uma luz. Pois esse plugin usa a mesmos endereços do ultrasurf.

ACCESSED SITE DATE TIME
65.49.14.93:443 26/06/2012 07:25:24
65.49.14.93:443 26/06/2012 07:45:27

Este log usei o sarg para ver o acesso.

Obrigado pela atenção!!!

Bom, é mais uma alternativa, todavia sempre utilizo o proxy não transparente, é menos provavel erros e acredito que mais seguro...

Gleyson, bom dia.

Ele normalmente dá esse erro quando você roda o seu script de firewall e ele apaga as chains e regras.

Para resolver o problema adicione as seguintes linhas no seu script

Você colocou as linhas abaixo no seu script?

No começo do script

/etc/init.d/fail2ban stop

No final do script

/etc/init.d/fail2ban start

Espero que resolva.

abs,

Rodrigo

Regis, dá um prêmio pra esse usuário, kkkk

O prêmio que eu dou para esse tipo de usuário que não para de buscar formas de burlar o sistema é tirar todo o acesso dele a Internet, ai espero ele reclamar, de preferência por email com cópia para o chefe dele. Ai respondo com uma explicação sobre os motivos do bloqueio. Resolve que é uma maravilha, rsrsrs

Então, se ele tá usando um plugin no gmail (Não conheço) você pode bloquear os IPs via ACL do Squid

Se você descobrir qual é esse plugin me avisa, vou fazer uns testes por aqui.

abs,

Rodrigo

Isso é verdade, proxy não transparente é muito mais seguro, eu também prefiro, porém dependendo do ambiente fica muito trabalhoso para os técnicos e usuário, por exemplo usuários que cada dia está em uma unidade diferente.

Lógico que existem formas de minimizar os impactos.

Bom fica a diga do nosso amigo.

Analise o seu ambiente e veja a melhor forma, sabendo que o proxy não transparente permite um melhor controle.

Forte abraços a todos.

Aqui está gerando esse erro ao iniciar o serviço.

voce poderia me ajudar ?


Starting fail2ban:
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'ultrasurf'. Using default value
ERROR Error in action definition
ERROR Errors in jail 'ultrasurf'. Skipping...

Obrigado Rodrigo, era isso mesmo... esta funfando que uma beleza! (-:

Depois de alguns anos bloqueando esta praga na minha rede, acredito que esta é realmente a melhor forma de bloqueio... e eu ainda bloqueio pelo Squid + DansGuardian, quero ver passar pelo meu servidor! rsrs..

Parabéns novamente pelo artigo, nota 10!

Você usa CentOS?

Se for você precisa alterar a linha "banaction = iptables-ultrasurf" por "action = iptables-ultrasurf"

abs

É isso ai, precisando é só falar.

abs

Eu uso slackware

corrigi e deu certo, agora só não gera log nem bloqueio.

Vou continuar tentando aqui...

Bacana, então essa alteração também é necessária no Slackware, vou anotar aqui.

Se não tá gerando LOG pode ser a regra do iptables, confere as regras do FORWARD.

Confere se o Slackware grava o log do iptables no /var/log/messages, pode ser ele grave em outro arquivo.

abs

Caro amigo, não sou muito de postar em fóruns mas gostaria muito de parabenizá-lo pela iniciativa. Me ajudou muito! Continue compartilhando o conhecimento e muitíssimo obrigado.

Olá, estou tendo o seguinte erro aqui:
proxy:/etc/init.d# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban failed!

Parei e iniciei manualmente o fail2ban assim:
/etc/init.d/fail2ban stop
/etc/init.d/fail2ban start

mas seu eu der um tail -f /var/log/fail2ban.log ele nao está gravando e, o ultrasurf está abrindo normalmente aqui.
alguma sugestão ?

abraço:
Rodrigo Muzyka

Rodrigo, tudo bem?

Qual a sua Distro?

No /var/log/messages apresenta algum erro?

Verifica pelo comando ps se o processo do fail2ban está rodando.

abs,

Rodrigo

Olá Rodrigoluis! Parabéns pelo artigo! Esse artigo foi de muita importância na implementação em um servidor CentOS que eu tenho na empresa que eu trabalho. Funcionou de primeira querido! Abraços...

Olá muito bom elaborado o artigo, mas estou com problema restarta o fail2ban, poderia me ajuda...

/etc/init.d/fail2ban restart Restarting authentication failure monitor: fail2ban failed!
root@firewall:/home/flavio#

Isso ja foi resolvindo, so foi uma questão chain do firewall

Galera algué pode me ajudar, esta rodando quase perfeito o fail2ban, mas não esta bloqueando a maquina que esta usando o ultrasurf

o meu firewall esta assim:

/etc/init.d/fail2ban stop
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
iptables -t nat -I POSTROUTING -o eth1 -j SNAT --to-source 201.0.0.0
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
/etc/init.d/fail2ban start

Quando o fail2ban é iniciado ele criar uma CHAIN no iptables usando o comando abaixo

“iptables -N fail2ban-ultrasurf”

Dentro dessa Chain ele coloca as regras para bloqueio, quando você roda o seu script de firewall ele certamente remove todas as chains personalizadas, sendo assim ele remove a chain “fail2ban-ultrasurf”.

Para resolver esse problema adicionei a linha abaixo no começo do seu script de firewall

/etc/init.d/fail2ban stop

E a seguinte linha no final do script de firewall

/etc/init.d/fail2ban start

Talvez estou equivocando, mas foi o que achei de solução
Mas abaixo esta o log messages
------------------------------------------------------------------------------------------------------------------------------------------

root@firewall:/home/flavio# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban.
root@firewall:/home/flavio# tail -f /var/log/fail2ban.log
2012-10-03 09:53:19,433 fail2ban.filter : INFO Set findtime = 600
2012-10-03 09:53:19,433 fail2ban.actions: INFO Set banTime = 600
2012-10-03 09:53:19,515 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-10-03 09:53:19,516 fail2ban.jail : INFO Jail 'ssh' started
2012-10-03 09:53:19,524 fail2ban.actions.action: ERROR iptables -N fail2ban-ultrasurf
iptables -A fail2ban-ultrasurf -j RETURN
iptables -I INPUT -j fail2ban-ultrasurf
iptables -I FORWARD -j fail2ban-ultrasurf
iptables -I PREROUTING -t nat -j fail2ban-ultrasurf
iptables -D PREROUTING -t nat -j fail2ban-ultrasurf returned 200
2012-10-03 09:53:40,547 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.200.200
2012-10-03 09:54:04,574 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
2012-10-03 09:54:23,595 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
2012-10-03 09:54:39,613 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned



tail -f /var/log/messages

ROTO=UDP SPT=53041 DPT=554 LEN=103
Oct 3 09:51:57 firewall kernel: [ 871.888388] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=487 TOS=0x00 PREC=0x00 TTL=127 ID=1284 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16258 RES=0x00 ACK PSH URGP=0
Oct 3 09:51:58 firewall kernel: [ 872.311731] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1287 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16500 RES=0x00 ACK URGP=0
Oct 3 09:52:01 firewall kernel: [ 875.552447] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=341 TOS=0x00 PREC=0x00 TTL=127 ID=1289 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16500 RES=0x00 ACK PSH URGP=0
Oct 3 09:52:01 firewall kernel: [ 875.997180] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1291 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16223 RES=0x00 ACK URGP=0
Oct 3 09:52:03 firewall kernel: [ 877.371047] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.77 LEN=122 TOS=0x00 PREC=0x00 TTL=127 ID=1293 PROTO=UDP SPT=53041 DPT=554 LEN=102
Oct 3 09:52:09 firewall kernel: [ 883.365597] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.77 LEN=111 TOS=0x00 PREC=0x00 TTL=127 ID=1296 PROTO=UDP SPT=53041 DPT=554 LEN=91

Também estou o mesmo problema, quando reinicio o failban não aparece nenhuma mensagemde erro, entretanto não bloqueia o ultrasurf. Segue o log o Fail2ban
2012-10-04 13:52:46,403 fail2ban.filter : INFO Set maxRetry = 6
2012-10-04 13:52:46,405 fail2ban.filter : INFO Set findtime = 600
2012-10-04 13:52:46,406 fail2ban.actions: INFO Set banTime = 600
2012-10-04 13:52:46,468 fail2ban.jail : INFO Creating new jail 'ultrasurf'
2012-10-04 13:52:46,468 fail2ban.jail : INFO Jail 'ultrasurf' uses Gamin
2012-10-04 13:52:46,470 fail2ban.filter : INFO Set maxRetry = 6
2012-10-04 13:52:46,473 fail2ban.filter : INFO Set findtime = 600
2012-10-04 13:52:46,474 fail2ban.actions: INFO Set banTime = 900
2012-10-04 13:52:46,487 fail2ban.jail : INFO Jail 'ssh' started
2012-10-04 13:52:46,491 fail2ban.jail : INFO Jail 'ultrasurf' started
Por gentileza, alguém puder me ajudar

Parabens, configurei aqui na empresa e funcionou 100%%% muito bom mesmo obrigado.

Olá Rodrigo!

Gostaria de parabenizá-lo acerca do artigo publicado. Realmente simples e funcional.
Implementei a configuração conforme seu artigo na empresa onde sou responsável pelo setor de TI e realmente solucionou
um pesadelo que me atormentava algum tempo.

Gostaria de informar que utilizo o Ubuntu Server 12.10 e que senti uma certa dificuldade com o Firewall UFW que incorpora a OS.
Desabilitei o UFW e criei o script de firewall para dar certo. O mais interessante que durante os testes é que a primeira tentativa de conectar com o Ultrasurf ele conecta e não bloqueia, mas depois de encerrar o Ultrasurf e tentar novamente, acompanhando o log do fail2ban.log ele bloqueia normalmente, ou seja ele não bloqueia de primeira, somente apos a segunda tentativa por diante para qualquer maquina na minha rede..

Bom foi somente um agradecimento e uma breve analise do que ocorre com o meu servidor Proxy.
Um grande abraço e sucesso!

Luiz Carlos Corrêa
Analista de TI

Olá Pessoal,
Sou novo aqui e gostaria muito da ajuda de vocês.
Estava procurando uma forma de como bloquear o ultrasurf e acabei encontrando esse artigo, que por sinal é muito interessante.
Realizei todos os passos mostrados no tutorial, o fail2ban está rodando perfeitamente, os arquivos citados foram configurados corretamente ("conferi duas vezes"), o iptable foi adicionado na minha regra de firewall como a primeira regra visto que não utilizo o módulo state (-m state --state ESTABLISHED,RELATED), quando visualizo o log tail -f fail2ban.log a jail está com o status de started. Mas quando executo o ultrasurf em minha máquina, estou conseguindo navegar normalmente sem nenhum bloqueio.....achei estranho. Agradeço desde já qualquer ajuda.

Configurações:

Distribuição:
Ubuntu Server 11.10

Meu Firewall:

echo "Ativando o firewall"

echo "Gera log para bloquear o ultrasurf.......[OK]"
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "

echo "Carregando os modulos....................[OK]"
modprobe iptables
modprobe iptable_nat

echo "Habilitando IP forwarding................[OK]"
echo "1" > /proc/sys/net/ipv4/ip_forward

echo "Compartilhando a conexao.................[OK]"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "Direcionando porta 80 para 8080..........[OK]"
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 ! -s 125.115.0.9

echo "Protegendo contra pacotes danificados....[OK]"
iptables -A FORWARD -m unclean -j DROP

echo "Abrindo conexao para rede local..........[OK]"
iptables -A INPUT -p tcp --syn -s 125.115.0.0/255.255.0.0 -j ACCEPT

echo "Fechando a conexao para o resto..........[OK]"
iptables -A INPUT -p tcp --syn -j DROP

echo "Bloqueando ping no servidor..............[OK]"
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Arquivo jail.local:

[ultrasurf]
enabled = true
filter = ultrasurf
port = all
banaction = iptables-ultrasurf
logpath = /var/log/messages
maxretry = 6
# Tempo em segundos que o IP fica bloqueado, aqui 15 minutos
bantime = 900

Arquivo ultrasurf.local:

[Definition]
failregex = (.*)=UltraSurf=(.*) SRC=<HOST>
ignoreregex =

Arquivo iptables-ultrasurf.local:

[Definition]

actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -j fail2ban-<name>
iptables -I FORWARD -j fail2ban-<name>

actionstop = iptables -D FORWARD -j fail2ban-<name>
iptables -D INPUT -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>

actioncheck = iptables -n -L FORWARD | grep -q fail2ban-<name>
iptables -n -L INPUT | grep -q fail2ban-<name>

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j REJECT

actionunban = iptables -D fail2ban-<name> -s <ip> -j REJECT

[Init]
name = ultrasurf

Obs: Até cheguei a mudar em /etc/fail2ban/jail.conf o backed = polling, porém mesmo assim não funcionou.

Abraço.

Rodrigo, agradeço muito pelo tutorial pois ele possibilitou que eu banisse outros problemas que haviam para a minha rede!
http://vivaolinux.com.br/topico/Redes/-Minha-Solucao-para-Bloqueio-de-Peer-to-Peer-e-Proxies-com-o-f...

Que solução. Radical, mas muito boa.

Só uma dúvida.

Aqui quando ele bloqueia, acaba sendo tudo, até mesmo a rede local como acesso ao servidor de arquivos.

Isso é padrão ou foi alguma configuração que eu fiz?

Patrick,

Essa configuração realmente bloqueia todo o acesso a Internet.

Se está bloqueando o acesso aos seus servidores você deve especificar as interfaces de entrada e saida na configuração do Fail2Ban.

Porém veja que o bloqueio total, inclusive servidores traz vantagens.

O usuário vai reclamar, você vai descobrir quem é, vai enviar um email falando sobre a politica e nunca mais ele vai usar o ultrasurf.

Não vejo problema no bloqueio total, vai ter muito problema no começo, depois vai zerar.

abs,

Rodrigo

Olá Rodrigo.

Acho perfeito a ideia de bloquear tudo, até mesmo para o usuário aprender e ir trabalhar.

Minha dúvida era só se estava correto ou era algum erro na configuração.

Estou testando para implementar junto com bloqueio para os programas P2P também.

Show de bola.

Vlw

abs.

Galera não sei se vcs podem me ajudar, o meu funcionou aqui corretamente o bloqueio, a questão e o seguinte:

O próprio ultrasurf ele não bloqueia, se eu abro o programa normal ele conecta e o iptables não gera log para que o fail2ban possa ler, mais se eu pingar o ip 65.49.14.0 ele funciona perfeitamente.

Alguém pode me ajudar.?

Olá, se alguém puder ajudar, estou com um problema aqui, quando crio o arquivo jail.local ele não inicia mais o fail2ban, informando o seguinte no log:

2015-02-12 17:59:41,806 fail2ban.server : INFO Stopping all jails
2015-02-12 17:59:42,732 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport –dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100
2015-02-12 17:59:42,732 fail2ban.jail : INFO Jail ‘ssh’ stopped
2015-02-12 17:59:42,733 fail2ban.server : INFO Exiting Fail2ban

Se eu colocar essa configuração dentro do jail.conf dá na mesma, antes o erro acontecia da seguinte forma:


2015-02-12 18:01:55,481 fail2ban.server : INFO Stopping all jails
2015-02-12 18:01:56,259 fail2ban.jail : INFO Jail ‘ssh’ stopped
2015-02-12 18:01:56,260 fail2ban.server : INFO Exiting Fail2ban

Alguma solução?

Gostaria de ao invés de bloquear, deixar lenta a conexão do sujeito que usa o ultrasurf, alguém tem alguma idéia de como fazê-lo?

Quando tento reiniciar a Daemon ocorre um erro. Alguém poderia me ajudar?
root@tales:/# /etc/init.d/fail2ban restart
[FAIL] Restarting authentication failure monitor: fail2ban failed!
root@tales:/#

Para bloquear por MAC ao invés de por IP, altere o arquivo /etc/fail2ban/action.d/iptables-ultrasurf.local da seguinte forma:

actionban = iptables -I fail2ban-<name> 1 -m mac --mac-source $(arp -a <ip> | awk '{print $4}') -j REJECT

actionunban = iptables -D fail2ban-<name> -m mac --mac-source $(arp -a <ip> | awk '{print $4}') -j REJECT

Boa tarde....Sou iniciante na mundo do linux...me foi solicitado o bloqueio do Ultrasurf e Tor...só consegui bloquear pelo AD da microsoft, mas se o arquivo for renomeado ou midar de versão já era....
Fiz do jeito que está descrito nesse tutorial, mas tenho algumas dificuldades em algumas partes podemos debater para você me ajudar?

1º - Onde tem (-m state –state ESTABLISHED, RELATED) eu coloquei "iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT" e me seguida "iptables -I FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= ", está correto?

2º Criei o três arquivos jail.local | iptables-ultrasurf.local | ultrasurf.local
Em ultrasurf.local
vi /etc/fail2ban/filter.d/ultrasurf.local

[Definition]
failregex = (.*)=UltraSurf=(.*) SRC= coloco o que aqui? IP de quem?
ignoreregex = e aqui?

==============================
[Definition]

actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -j fail2ban-<name>
iptables -I FORWARD -j fail2ban-<name>

actionstop = iptables -D FORWARD -j fail2ban-<name>
iptables -D INPUT -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>

actioncheck = iptables -n -L FORWARD | grep -q fail2ban-<name>
iptables -n -L INPUT | grep -q fail2ban-

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j REJECT

actionunban = iptables -D fail2ban-<name> -s <ip> -j REJECT

[Init]
name = ultrasurf

Onde tem <name> que nome coloco aqui? e onde tem <ip> é o ip de quem do servidor firewall ou do host que está executano o Ultrasurf?

Desde já agradeço....