Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.10

Publicado por Manoel Felipe Ramos em 24/06/2011

[ Hits: 7.445 ]

 


Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.10



Obs.: Esta dica é um upgrade da dica:

Creio que o UltraSurf é a maior dor de cabeça para qualquer Administrador de Rede e Security Officer na atualidade! Após várias análises em artigos, pesquisas e tentativas sem sucesso, decidi estudar melhor esta aplicação, até que consegui o bloqueio sem ter que fechar as conexões 443 nas redes dos meus clientes.

Procedimento para bloqueio

Obs.: Esta dica funciona até a última versão do Ultrasurf, a 10.10, disponibilizada até a publicação desta dica. Não sei se irá funcionar para as próximas versões!

O bloqueio é feito diretamente no Firewall (Netfilter / Iptables).

Basta colocar as linhas abaixo no final do seu Iptables:

#REGRA COMPLETA PARA BLOQUEÁ-LO:
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 55433 -j DROP
iptables -I FORWARD -p tcp --dport 33190 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 23620 -j DROP
iptables -I FORWARD -p tcp --dport 3103 -j DROP
iptables -I FORWARD -p tcp --dport 3162 -j DROP
iptables -I FORWARD -p tcp --dport 2000:3000 -j DROP

iptables -I FORWARD -p tcp -d 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -d 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -d 208.43.202.0/24 -j DROP
iptables -I FORWARD -p tcp -s 208.43.202.0/24 -j DROP
iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP


Obs.: Note que bloqueei os ranges dos IP's somente nas conexões 443 de HTTPS (Esta regra foi testada nos 2 firewalls!).

Mas lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima.

Também podemos bloquear todos os ranges, o problema é que se quisermos acessar algumas destas redes, não vamos conseguir!


Outras dicas deste autor

Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.08

Leitura recomendada

CentOS 5 - Remover pacotes desnecessários

Obtendo o nome do host e o MAC address rapidamente

Utilizando o NMAP

Análise de malware com Pyew

arch-audit - Detecte vulnerabilidades nos pacotes instalados no Arch Linux

  

Comentários
[1] Comentário enviado por luizbarcelos em 24/06/2011 - 17:14h

Parabéns, Realmente uma regra que funciana,
Já testei em dois firewalls, e acabei com a bagunça.

[2] Comentário enviado por luizbarcelos em 24/06/2011 - 17:22h

Que pena, Com a versão 1015 do ultrasurf não bloqueia.

[3] Comentário enviado por luizbarcelos em 24/06/2011 - 19:54h

Cara Desculpa, acho que não testei o suficiente.
Mas notei que mesmo conectado por alguns
Segundos não conecta mesmo. Vou continuar os testes esse final de
Semana, qualquer coisa eu posto novamente. o ultrasurf não altera o proxy do firefox.
Valeu!


[4] Comentário enviado por manoel-ramos em 24/06/2011 - 21:35h

Vou testar a versão 10.15 e depois posto aqui!

[5] Comentário enviado por luizbarcelos em 25/06/2011 - 11:50h

Realmente esta funcionando, bloqueando mesmo.

[6] Comentário enviado por mperalta em 05/07/2011 - 13:32h

Boa tarde amigo,

venho tentando bloquear o ultrasurf sem êxito.
Não entendi a parte "Mas lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima",
Meu iptables está redirecionando para 8080 (dansguardian)

Como ficaria o script para este caso?

Obrigado

[7] Comentário enviado por manoel-ramos em 05/07/2011 - 13:41h

Olá @mperalta!

No seu caso vai funcionar perfeitamente, sem que você altere nada!
A única questão é que a porta 80 deverá estar redirecionada para o seu Proxy, pois se 80 estiver liberada, ele vai navegar!
Como no seu caso está redirecionando para a 8080, não tem problema, vai funcionar perfeitamente!

Abraços!

[8] Comentário enviado por luizbarcelos em 05/07/2011 - 14:25h

Infelizmente parou de bloquear.
Valeu.

[9] Comentário enviado por manoel-ramos em 05/07/2011 - 14:59h

Vou analizar e postarei aqui em breve!

[10] Comentário enviado por falcom em 29/11/2011 - 12:03h

Funciona en un entorno sin proxy transparente, pero si tenemos una lan con proxy transparente bloquea el acceso a sitios https como gmail, yahoo, hotmail etc.
English
don't work in a lan with a transparent proxy because block access to gmail, yahoo, hotmail etc..
Helpme please !

[11] Comentário enviado por manoel-ramos em 29/11/2011 - 13:23h

Usted debe bloquear el puerto https sólo para las direcciones de las redes de UltraSurf.

Sigue la regla:

iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP

[12] Comentário enviado por falcom em 29/11/2011 - 18:04h

ok voy a tratar nuevamente!

[13] Comentário enviado por falcom em 29/11/2011 - 18:07h

Gracias, funciona perfectamente testeado con la version 11.03 de ultrasurf, en un entorno con proxy transparente!
saludos from Ecuador! south America



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts