Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.10

Publicado por Manoel Felipe Ramos em 24/06/2011

[ Hits: 7.499 ]

 


Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.10



Obs.: Esta dica é um upgrade da dica:

Creio que o UltraSurf é a maior dor de cabeça para qualquer Administrador de Rede e Security Officer na atualidade! Após várias análises em artigos, pesquisas e tentativas sem sucesso, decidi estudar melhor esta aplicação, até que consegui o bloqueio sem ter que fechar as conexões 443 nas redes dos meus clientes.

Procedimento para bloqueio

Obs.: Esta dica funciona até a última versão do Ultrasurf, a 10.10, disponibilizada até a publicação desta dica. Não sei se irá funcionar para as próximas versões!

O bloqueio é feito diretamente no Firewall (Netfilter / Iptables).

Basta colocar as linhas abaixo no final do seu Iptables:

#REGRA COMPLETA PARA BLOQUEÁ-LO:
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 55433 -j DROP
iptables -I FORWARD -p tcp --dport 33190 -j DROP
iptables -I FORWARD -p tcp --dport 19769 -j DROP
iptables -I FORWARD -p tcp --dport 23620 -j DROP
iptables -I FORWARD -p tcp --dport 3103 -j DROP
iptables -I FORWARD -p tcp --dport 3162 -j DROP
iptables -I FORWARD -p tcp --dport 2000:3000 -j DROP

iptables -I FORWARD -p tcp -d 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.2.0/24 -j DROP
iptables -I FORWARD -p tcp -d 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -s 65.49.14.0/24 -j DROP
iptables -I FORWARD -p tcp -d 208.43.202.0/24 -j DROP
iptables -I FORWARD -p tcp -s 208.43.202.0/24 -j DROP
iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP


Obs.: Note que bloqueei os ranges dos IP's somente nas conexões 443 de HTTPS (Esta regra foi testada nos 2 firewalls!).

Mas lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima.

Também podemos bloquear todos os ranges, o problema é que se quisermos acessar algumas destas redes, não vamos conseguir!


Outras dicas deste autor

Bloqueando o Ultrasurf através do Netfilter/Iptables versão 10.08

Leitura recomendada

Regra pra abrir várias portas com IPTABLES

"Antivírus" e o Linux

Slides da palestra "Android's Forensics: The Hard Work" - You Shot The Sheriff 6

Nunca execute esses comandos

Colocando senha criptografada no Grub

  

Comentários
[1] Comentário enviado por luizbarcelos em 24/06/2011 - 17:14h

Parabéns, Realmente uma regra que funciana,
Já testei em dois firewalls, e acabei com a bagunça.

[2] Comentário enviado por luizbarcelos em 24/06/2011 - 17:22h

Que pena, Com a versão 1015 do ultrasurf não bloqueia.

[3] Comentário enviado por luizbarcelos em 24/06/2011 - 19:54h

Cara Desculpa, acho que não testei o suficiente.
Mas notei que mesmo conectado por alguns
Segundos não conecta mesmo. Vou continuar os testes esse final de
Semana, qualquer coisa eu posto novamente. o ultrasurf não altera o proxy do firefox.
Valeu!


[4] Comentário enviado por manoel-ramos em 24/06/2011 - 21:35h

Vou testar a versão 10.15 e depois posto aqui!

[5] Comentário enviado por luizbarcelos em 25/06/2011 - 11:50h

Realmente esta funcionando, bloqueando mesmo.

[6] Comentário enviado por mperalta em 05/07/2011 - 13:32h

Boa tarde amigo,

venho tentando bloquear o ultrasurf sem êxito.
Não entendi a parte "Mas lembrem-se, a porta 80 tem que estar redirecionando para a 3128 do Squid, caso contrário, deve-se bloquear a 80 ou 8080 para os ranges das redes que foram informadas acima",
Meu iptables está redirecionando para 8080 (dansguardian)

Como ficaria o script para este caso?

Obrigado

[7] Comentário enviado por manoel-ramos em 05/07/2011 - 13:41h

Olá @mperalta!

No seu caso vai funcionar perfeitamente, sem que você altere nada!
A única questão é que a porta 80 deverá estar redirecionada para o seu Proxy, pois se 80 estiver liberada, ele vai navegar!
Como no seu caso está redirecionando para a 8080, não tem problema, vai funcionar perfeitamente!

Abraços!

[8] Comentário enviado por luizbarcelos em 05/07/2011 - 14:25h

Infelizmente parou de bloquear.
Valeu.

[9] Comentário enviado por manoel-ramos em 05/07/2011 - 14:59h

Vou analizar e postarei aqui em breve!

[10] Comentário enviado por falcom em 29/11/2011 - 12:03h

Funciona en un entorno sin proxy transparente, pero si tenemos una lan con proxy transparente bloquea el acceso a sitios https como gmail, yahoo, hotmail etc.
English
don't work in a lan with a transparent proxy because block access to gmail, yahoo, hotmail etc..
Helpme please !

[11] Comentário enviado por manoel-ramos em 29/11/2011 - 13:23h

Usted debe bloquear el puerto https sólo para las direcciones de las redes de UltraSurf.

Sigue la regla:

iptables -I FORWARD -d 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 114.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 112.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 59.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 118.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 61.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 1.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 122.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 124.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -s 111.0.0.0/8 -p tcp --destination-port 443 -j DROP
iptables -I FORWARD -d 111.0.0.0/8 -p tcp --destination-port 443 -j DROP

[12] Comentário enviado por falcom em 29/11/2011 - 18:04h

ok voy a tratar nuevamente!

[13] Comentário enviado por falcom em 29/11/2011 - 18:07h

Gracias, funciona perfectamente testeado con la version 11.03 de ultrasurf, en un entorno con proxy transparente!
saludos from Ecuador! south America



Contribuir com comentário