Bloquear Ultra Surf pelo firewall Linux

Publicado por paulo em 21/08/2009

[ Hits: 13.412 ]

 


Bloquear Ultra Surf pelo firewall Linux



Bom dia galera, venho mostrar uma solução simples para um problema que vem tirando o sono de muitos administradores de rede. Antes de testar essa solução procurei "n" outras... adicionando ao firewall linhas e linhas de IPs e dropando todas... aff... e sem nenhuma solução eficiente. Mas por incrível que pareça, no final a consegui com apenas uma linha de comando!

Adicione as linhas abaixo da regra do redirecionamento da porta 80 para 3128 em seu firewall:

############ ULTRA SURF BLOQUEADO COM APENAS UMA LINHA DE COMANDO ###################
INTERNET="eth0"
REDE_LOCAL="eth1"

# Redirecionando todo tráfego da Internet para o proxy na porta 3128
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128

# Detonando com o Ultra surf
iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Retornando a lista de usuários de uma aplicação vulnerável usando o SQL Injection

Recuperando acesso de root

NoScript - Proteção quando o assunto é XSS e Clickjacking

Quebrar senhas em ambiente MS Windows

O que é um Fuzzer em Penetration Testing (Pentesting)

  

Comentários
[1] Comentário enviado por marciomarkes em 22/08/2009 - 01:38h

Paulo, Muito bom cara..
Excepcional!!!
Se não for abusar o que exatamente essa linha faz referente ao ultrasurf?
Abraços...

[2] Comentário enviado por falcom em 24/08/2009 - 13:36h

Thnx for your aport, i block ultrasufr with this line!!! thnx again

[3] Comentário enviado por marciomarkes em 24/08/2009 - 19:53h

Caro amigo Paulo, não sei se vc já testou mais com essa regra o Skype não tem entrado vc sabe o pq?
Abraços..

[4] Comentário enviado por elgio em 25/08/2009 - 12:01h

Bom...

Você não está BLOQUEANDO o ultrasurf!

Na prática você está BLOQUEANDO TUDO, exceto conexões HTTP porta 80 e ainda liberadas VIA PROXY.

Como bloqueia TUDO, TUDO TUDO, claro que acaba por bloquear o Ultrasurf.

Mas agora nada de SMTP, POP, SSH, HTTPS, SMTPS, POPS, IMAPS, ... (só serviços baseados em UDP funcionam)

Se todos querem pagar este preço, OK.


# Redirecionando todo tráfego da Internet para o proxy na porta 3128
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128

Pacotes vindo da rede local, com destino a porta 80 (HTTP) são enviadas para a porta do proxy (deve ter um proxy ativo)

iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset
Qualquer pacote tcp de qualquer porta, de qualquer IP, de qualquer IP destino, de qualquer qualquer qualquer é REJEITADO. Excetua-se a porta 80 vindo da rede local pois teve o destino MUDADO para localhost na porta 3128 e por isto não passará pelo FORWARD.

É isto que as duas regras fazem.

[5] Comentário enviado por marciomarkes em 26/08/2009 - 17:56h

Muito obrigado caro Elgio, pela explicação, o Skype resolvi da seguinte forma, apontando meu proxy dentro do próprio programa Skype, aparti dai ele faz a conexão passando por dentro do proxy nas portas 80 e 443.
Gostaria até de saber com o srº se isso atrapalha em questões como Segurança, desempenho entre outros.

Grande abraço.

Marcio Marques


[6] Comentário enviado por prgs.linux em 29/08/2009 - 09:18h

Pessoas.... para solucionar de vez toda e qualquer duvida... segue um script....levando em consideraçao que voçe tenha em sua rede divida por departamentos.... e voçe como um bom analista ja sabe qual Usuarios que te INFERNIZA a VIDA

IPS_DOS_ATENTADOS=(192.168.10.10 192.168.10.20 192.168.10.30 );

# Barrando UltraSurf para os IPS listadoa acima...

echo IPS dos LINDOS QUE ME INFERNIZAO: $IPS_DOS_ATENTADOS
let CONTADOR=0;
for TEMP_VAR10 in {IPS_DOS_ATENTADOS[@]} ; do
echo BARRANDO IPS DOS ATENTADOS: $TEMP_VAR10
$IPTABLES -A FORWARD -p tcp -s $TEMP_VAR10 -j REJECT --reject-with tcp-reset
let CONTADOR=$CONTADOR+1;
done;


[7] Comentário enviado por helio_bs em 02/10/2009 - 17:42h

coloquei esta regra no meu firewall e ele broqueia a milhas solicitações externas e internas....

como faço para liberar as portas de entrada 23,21 e saida....

[8] Comentário enviado por hernaneac em 12/11/2009 - 12:47h

Fiz um breve artigo sobre como bloquear o ultra surf usando o GPO no AD.

Caso não use AD pode usar a police local e fazer a mesma configuração.

Comigo funcionou e acabou o pesadelo do ultrasurf

http://hernaneac.spaces.live.com/blog/cns!C978AD9F4FABB67A!304.entry

[9] Comentário enviado por righteous em 15/04/2011 - 16:24h

Salve, salve galera!

Tentei de tudo já! Mas, nada! Vejam:

Meu Firewall/rc.local:

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# iptables -A OUTPUT -p tcp -o eth0 --dport 443 -j DROP
# iptables -A FORWARD -d ultrareach.com -j REJECT
# iptables -A FORWARD -d ultrasearch.com -j REJECT
# iptables -A OUTPUT -p tcp --dport 443 -j REJECT
# iptables -A FORWARD -p tcp -i eth1 --dport 443 -j DROP
# iptables -A FORWARD -p tcp -i eth1 --dport 9666 -j DROP
# iptables -A OUTPUT -p tcp --dport 9666 -j REJECT
# iptables -A OUTPUT -d www.ultrareach.com -j REJECT
# iptables -A FORWARD -d www.ultrareach.com -j REJECT
# iptables -A INPUT -p tcp --dport 443 -j REJECT

# Redirecionamento do trafego para a porta do squid

# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

# REGRA PARA BLOQUEAR O ULTRASURF
# iptables -I FORWARD -s 192.168.0.1/255.255.255.0 -p tcp --dport 443 -j DROP
# for i in $(cat /usr/local/sbin/https | grep -e ^[0-9] | cut -d: -f1)
# do
# iptables -A FORWARD -p tcp --dport 443 -s 0/0 -d ${i} -j DROP
# iptables -A FORWARD -p tcp --dport 443 -s ${i} -d 0/0 -j DROP
# done
#
# exit 0

Tentei de todas as formas, bloqueando eth1, eth0.

Lembrando que claro, eu não tentei tudo ao mesmo tempo. Foi um de cada vez! (Risos).

Agora tem um que parou o Ultrasurf, foi no caso:

# iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

Mas, ele parou foi tudo, tcp, pop, smtp e etc. Então, alguém sabe como criar uma regra para parar tudo e liberar só as portas de e-mails e internet? Eu até tentei com esses comandos, mas, não deu certo. Vejam:

# iptables -A INPUT -m multiport -p tcp --dport 53, 80, 25, 110 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
# iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

Eu tentei parar o com REJECT e depois abrir só as portas 80,25,110, mas não deu certo! Mudei as sequencia, tipo, primeiro, rejeita depois libera, primeiro libera depois rejeita. Mas, não deu.

A versão em questão do programa de lucifer Ultra Surf é a 10.08. :(

Help me pleaseee! :)



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts