Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.08

Publicado por Manoel Felipe Ramos em 11/05/2011

[ Hits: 11.830 ]

 


Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.08



Creio que o UltraSurf é a maior dor de cabeça para qualquer administrador de rede e security officer na atualidade! Após várias análises em artigos, pesquisas e tentativas sem sucesso, decidi estudar melhor esta aplicação, onde consegui o bloqueio sem ter que fechar as conexões 443 nas redes dos meus clientes.

Procedimento para bloqueio:

Obs.: Esta dica funciona até a última versão do Ultrasurf, a 10.08, disponibilizada até a publicação deste arquivo. Não sei se irá funcionar para as próximas versões!

O bloqueio é feito diretamente no firewall (Netfilter / Iptables).

Basta colocar as seguintes linhas abaixo no final do seu Iptables:

# BLOQUEIO ULTRASURF
iptables -I FORWARD -p tcp -d 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -d 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 55433 -j DROP
iptables -I FORWARD -p tcp --dport 33190 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP

Obs.: Os meus firewalls redirecionam a porta 80 para a 3128 do Squid.

Espero ter ajudado!
Linux: Bloqueando o Ultrasurf através do Netfilter/Iptables (Versão 10.08)
Outras dicas deste autor

Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.10

Leitura recomendada

Desabilitar login do root via SSH no ESXi

Webinar III - Principais ameaças à aplicações web - Top 10 do OWASP

Vídeo laboratório de Pentest - SQLi em PostgreSQL manualmente

Detectando sniffers

Evitar boot sem senha no modo single

  

Comentários
[1] Comentário enviado por tothbr em 11/05/2011 - 16:59h

Valeu pela dica amigo, já tinha aqui no firewall outras 3 regras mas em conjunto com as suas fiz os testes e nada de conectar valeu pela dica.

[2] Comentário enviado por manoel-ramos em 11/05/2011 - 17:29h

Legal!! O Negócio é contribuir!!!

[3] Comentário enviado por Rhods23 em 16/05/2011 - 13:00h

Amigo, obrigado pela contribuição. Porém aqui não deu certo. O ultrasurf demorou um pouco mais para se conectar, mas infelizmente o mesmo conectou e funcionou normalmente.
Uma pena.
Abraços.

[4] Comentário enviado por peraro em 18/05/2011 - 10:30h

Manoel, muito obrigado pela dica.

Pessoal, percebi que além das portas indicadas, tem também a 9666.

/sbin/iptables -I FORWARD -p tcp --dport 9666 -j DROP

Funcionou aqui.

Testei com o UltraSurf 10.09, última versão até hoje (18-05-2011).

Boa Sorte.

[5] Comentário enviado por tothbr em 19/05/2011 - 17:51h

Foi só um incio para dar um gostinho ta funcionando novamente.

[6] Comentário enviado por manoel-ramos em 20/05/2011 - 11:33h

##################################
# ATUALIZACAO DA DICA #
# ULTRASURF BLOQUEADO ATE A VERSAO 10.10 #
##################################

Prezados Amigos!
Realmente ouve atualizações nesta praga do UltraSurf!
Mas, consegui bloqueá-lo até a versão 10.10:

OBS: Note que bloqueei os ranges dos ip's somente nas conexões 443 de HTTPS:

REGRA COMPLETA PARA BLOQUEA-LO:

iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 55433 -j DROP
iptables -I FORWARD -p tcp --dport 33190 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 23620 -j DROP
iptables -I FORWARD -p tcp --dport 3103 -j DROP
iptables -I FORWARD -p tcp --dport 3162 -j DROP
iptables -I FORWARD -p tcp --dport 2000:3000 -j DROP

iptables -I FORWARD -p tcp -d 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -d 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -d 208.43.202.0/24 -j DROP
iptables -I FORWARD -p tcp -s 208.43.202.0/24 -j DROP
iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP


Esta regra foi testada em 2 firewalls!

Mas lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima.
Também podemos bloquear todo os ranges, o problema é que se quisermos acessar algumas destas redes, não vamos conseguir!

Aqui esta funcioando perfeitamente!!! Data: 20/05/2011

[7] Comentário enviado por tothbr em 20/05/2011 - 15:55h

Olá amigo manoel-ramos!

Valeu pela dica fiz os testes aqui e esta praga não teve sucesso, vou continuar monitorando e verificar se afetou algum serviço da rede, valeu.

[8] Comentário enviado por manoel-ramos em 21/05/2011 - 01:45h

Amigo Tothbr!

Lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima.
Também podemos bloquear todo os ranges, o problema é que se quisermos acessar algumas destas redes, não vamos conseguir!

Pra mim está bloqueando perfeitamente!

[9] Comentário enviado por islan em 22/05/2011 - 06:29h

Manoel, os comandos que voce disponibilizou pra bloquear o ultrasurf, funcionou perfeitamente nas LANs que eu administro, obrigado pela tua contribuicao.

[10] Comentário enviado por manoel-ramos em 23/05/2011 - 12:31h

OBS: Não é necessario bloquear a porta iptables 9666 pois esta porta funciona somente no localhost da estacao, nao passando pelo Firewall. Se quiseres, bloquei esta porta através do firewall da estação de trabalho!

[11] Comentário enviado por dalveson em 22/06/2011 - 09:35h

bom dia pessoal
fiz coforme procedimento e o ultra surf nao funcionou, porem um sistema online que uso aqui e roda na porta https (443) parou de funcionar, alguem tem ideia do que pode ter acontecido, visto que miha porta 443 nao ta bloqueado no iptables e tambem nenhuma das regras postadas acima bloqueia totalmente o trafego na porta 443, exceto para essas redes discrimidas ae.
e outra, alguem poderia me dizer se sao essa portas que estao influenciando nno bloqueio do meu sistema:
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 55433 -j DROP
iptables -I FORWARD -p tcp --dport 33190 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 23620 -j DROP
iptables -I FORWARD -p tcp --dport 3103 -j DROP
iptables -I FORWARD -p tcp --dport 3162 -j DROP
iptables -I FORWARD -p tcp --dport 2000:3000 -j DROP

porque se nao me engano quado vc acessa alguma pagina essa pagina manda uma resposta para o seu pc em portas altas acima de 1024.

att

[12] Comentário enviado por manoel-ramos em 22/06/2011 - 10:03h

Olá @dalveson,

Primeiramente, gostaria de saber se sua rede está bloqueando apenas este sistema em https? Os sites de bancos estão funcionando?
Caso os sites dos bancos e outras aplicações em https estão funcioando, libere o endereço da rede do seu sistema, que está rodando em https, para passar direto pelo firewall.

Sobre a sua pergunta, referente as portas acima de 1024, são do protocolo UDP e não TCP no qual estamos bloqueando. É por isto que não bloqueamento totalmente o protocolo UDP em nossos firewalls.

Mas, se você está com dúvidas, analise as conexões no seu firewall utilizando o TCPDUMP, no qual mostrará as portas que estão rodando e que estão sendo bloqueadas. Daí é só liberar a porta e fazer novamente o teste com o Ultrasurf.

Poste aqui estes testes!

[13] Comentário enviado por dalveson em 22/06/2011 - 10:34h

Bom dia Manoel Ramos
Obrigado pela atenção
Sobre liberar somente para o ip do sistema ja havia acabado de fazer isso, agora estou efetuando os testes para verificar se tudo funcionara corretamente.
Uma outra duvida é sobre o ultra surf utilizado como add on para o firefox, essas regras tbm bloqueara ele

att

[14] Comentário enviado por manoel-ramos em 22/06/2011 - 10:39h

Sim, porque ele bloqueia a nível de rede e não por aplicação!

[15] Comentário enviado por cesarfrrrk em 04/08/2011 - 16:33h

Boa tarde galera, acabo de testar com o ultrasurf 10.16 e obtive sucesso apenas removendo a regra 'iptables -I FORWARD -p tcp --dport 2000:3000 -j DROP', pois com ela ativa o gmail parava de funcionar e provavelmente outros sites que utilizam https. Até o momento está tudo ok e ultrasurf bloqueado. Abraços

[16] Comentário enviado por fgcneto em 01/10/2012 - 10:00h

Olá pessoal, conseguir bloquear o ultrafsurf com as seguintes informações:
Utilizei as informações passadas por este artigo: http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2...
em conjunto com as seguintes regras no final do iptables:

# BLOQUEIO ULTRASURF
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 55433 -j DROP
iptables -I FORWARD -p tcp --dport 33190 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 23620 -j DROP
iptables -I FORWARD -p tcp --dport 3103 -j DROP
iptables -I FORWARD -p tcp --dport 3162 -j DROP
iptables -I FORWARD -p tcp --dport 2000:3000 -j DROP
iptables -I FORWARD -p tcp -d 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -d 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -d 208.43.202.0/24 -j DROP
iptables -I FORWARD -p tcp -s 125.226.159.29 -j DROP
iptables -I FORWARD -p tcp -d 36.227.82.56 -j DROP
iptables -I FORWARD -p tcp -d 36.227.82.56 -j DROP
iptables -I FORWARD -p tcp -d 65.49.2.22 -j DROP
iptables -I FORWARD -p tcp -d 66.245.209.153 -j DROP
iptables -I FORWARD -p tcp -d 175.180.205.104 -j DROP
iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP




Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts