Bloquear Ultra Surf pelo firewall Linux

Publicado por paulo em 21/08/2009

[ Hits: 14.514 ]

 


Bloquear Ultra Surf pelo firewall Linux



Bom dia galera, venho mostrar uma solução simples para um problema que vem tirando o sono de muitos administradores de rede. Antes de testar essa solução procurei "n" outras... adicionando ao firewall linhas e linhas de IPs e dropando todas... aff... e sem nenhuma solução eficiente. Mas por incrível que pareça, no final a consegui com apenas uma linha de comando!

Adicione as linhas abaixo da regra do redirecionamento da porta 80 para 3128 em seu firewall:

############ ULTRA SURF BLOQUEADO COM APENAS UMA LINHA DE COMANDO ###################
INTERNET="eth0"
REDE_LOCAL="eth1"

# Redirecionando todo tráfego da Internet para o proxy na porta 3128
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128

# Detonando com o Ultra surf
iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Como evitar execução de backdoors em diretórios de upload do teu site

251 Plugins para Scanning em Hardening com OpenVAS4

Usando o iptables de forma eficiente

Auditando com Lastcomm

Evitando fingerprint no Apache

  

Comentários
[1] Comentário enviado por marciomarkes em 22/08/2009 - 01:38h

Paulo, Muito bom cara..
Excepcional!!!
Se não for abusar o que exatamente essa linha faz referente ao ultrasurf?
Abraços...

[2] Comentário enviado por falcom em 24/08/2009 - 13:36h

Thnx for your aport, i block ultrasufr with this line!!! thnx again

[3] Comentário enviado por marciomarkes em 24/08/2009 - 19:53h

Caro amigo Paulo, não sei se vc já testou mais com essa regra o Skype não tem entrado vc sabe o pq?
Abraços..

[4] Comentário enviado por elgio em 25/08/2009 - 12:01h

Bom...

Você não está BLOQUEANDO o ultrasurf!

Na prática você está BLOQUEANDO TUDO, exceto conexões HTTP porta 80 e ainda liberadas VIA PROXY.

Como bloqueia TUDO, TUDO TUDO, claro que acaba por bloquear o Ultrasurf.

Mas agora nada de SMTP, POP, SSH, HTTPS, SMTPS, POPS, IMAPS, ... (só serviços baseados em UDP funcionam)

Se todos querem pagar este preço, OK.


# Redirecionando todo tráfego da Internet para o proxy na porta 3128
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128

Pacotes vindo da rede local, com destino a porta 80 (HTTP) são enviadas para a porta do proxy (deve ter um proxy ativo)

iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset
Qualquer pacote tcp de qualquer porta, de qualquer IP, de qualquer IP destino, de qualquer qualquer qualquer é REJEITADO. Excetua-se a porta 80 vindo da rede local pois teve o destino MUDADO para localhost na porta 3128 e por isto não passará pelo FORWARD.

É isto que as duas regras fazem.

[5] Comentário enviado por marciomarkes em 26/08/2009 - 17:56h

Muito obrigado caro Elgio, pela explicação, o Skype resolvi da seguinte forma, apontando meu proxy dentro do próprio programa Skype, aparti dai ele faz a conexão passando por dentro do proxy nas portas 80 e 443.
Gostaria até de saber com o srº se isso atrapalha em questões como Segurança, desempenho entre outros.

Grande abraço.

Marcio Marques


[6] Comentário enviado por prgs.linux em 29/08/2009 - 09:18h

Pessoas.... para solucionar de vez toda e qualquer duvida... segue um script....levando em consideraçao que voçe tenha em sua rede divida por departamentos.... e voçe como um bom analista ja sabe qual Usuarios que te INFERNIZA a VIDA

IPS_DOS_ATENTADOS=(192.168.10.10 192.168.10.20 192.168.10.30 );

# Barrando UltraSurf para os IPS listadoa acima...

echo IPS dos LINDOS QUE ME INFERNIZAO: $IPS_DOS_ATENTADOS
let CONTADOR=0;
for TEMP_VAR10 in {IPS_DOS_ATENTADOS[@]} ; do
echo BARRANDO IPS DOS ATENTADOS: $TEMP_VAR10
$IPTABLES -A FORWARD -p tcp -s $TEMP_VAR10 -j REJECT --reject-with tcp-reset
let CONTADOR=$CONTADOR+1;
done;


[7] Comentário enviado por helio_bs em 02/10/2009 - 17:42h

coloquei esta regra no meu firewall e ele broqueia a milhas solicitações externas e internas....

como faço para liberar as portas de entrada 23,21 e saida....

[8] Comentário enviado por removido em 12/11/2009 - 12:47h

Fiz um breve artigo sobre como bloquear o ultra surf usando o GPO no AD.

Caso não use AD pode usar a police local e fazer a mesma configuração.

Comigo funcionou e acabou o pesadelo do ultrasurf

http://hernaneac.spaces.live.com/blog/cns!C978AD9F4FABB67A!304.entry

[9] Comentário enviado por righteous em 15/04/2011 - 16:24h

Salve, salve galera!

Tentei de tudo já! Mas, nada! Vejam:

Meu Firewall/rc.local:

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# iptables -A OUTPUT -p tcp -o eth0 --dport 443 -j DROP
# iptables -A FORWARD -d ultrareach.com -j REJECT
# iptables -A FORWARD -d ultrasearch.com -j REJECT
# iptables -A OUTPUT -p tcp --dport 443 -j REJECT
# iptables -A FORWARD -p tcp -i eth1 --dport 443 -j DROP
# iptables -A FORWARD -p tcp -i eth1 --dport 9666 -j DROP
# iptables -A OUTPUT -p tcp --dport 9666 -j REJECT
# iptables -A OUTPUT -d www.ultrareach.com -j REJECT
# iptables -A FORWARD -d www.ultrareach.com -j REJECT
# iptables -A INPUT -p tcp --dport 443 -j REJECT

# Redirecionamento do trafego para a porta do squid

# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

# REGRA PARA BLOQUEAR O ULTRASURF
# iptables -I FORWARD -s 192.168.0.1/255.255.255.0 -p tcp --dport 443 -j DROP
# for i in $(cat /usr/local/sbin/https | grep -e ^[0-9] | cut -d: -f1)
# do
# iptables -A FORWARD -p tcp --dport 443 -s 0/0 -d ${i} -j DROP
# iptables -A FORWARD -p tcp --dport 443 -s ${i} -d 0/0 -j DROP
# done
#
# exit 0

Tentei de todas as formas, bloqueando eth1, eth0.

Lembrando que claro, eu não tentei tudo ao mesmo tempo. Foi um de cada vez! (Risos).

Agora tem um que parou o Ultrasurf, foi no caso:

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

Mas, ele parou foi tudo, tcp, pop, smtp e etc. Então, alguém sabe como criar uma regra para parar tudo e liberar só as portas de e-mails e internet? Eu até tentei com esses comandos, mas, não deu certo. Vejam:

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

Eu tentei parar o com REJECT e depois abrir só as portas 80,25,110, mas não deu certo! Mudei as sequencia, tipo, primeiro, rejeita depois libera, primeiro libera depois rejeita. Mas, não deu.

A versão em questão do programa de lucifer Ultra Surf é a 10.08. :(

Help me pleaseee! :)



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts