IPtables - Bloqueando o UltraSurf

Publicado por richard giovanni jose bergonzi em 16/11/2012

[ Hits: 3.269 ]

 


IPtables - Bloqueando o UltraSurf



Aqui está a regra de IPtables para bloquear o UltraSurf (versões: 12.02, 12.04 e 12.05), depois de 3 dias vendo os servidores que ele conecta.

Coloque as regras em cima, antes da liberação de qualquer coisa no IPtables:

#bloqueio do ultrasurf
iptables -A FORWARD -d 69.61.0.0/16 -j DROP
iptables -A FORWARD -d 199.114.0.0/16 -j DROP
iptables -A FORWARD -d 46.22.0.0/16 -j DROP
iptables -A FORWARD -d 111.254.0.0/16 -j DROP
iptables -A FORWARD -d 149.5.0.0/16 -j DROP
iptables -A FORWARD -d 211.74.0.0/16 -j DROP
iptables -A FORWARD -d 46.105.0.0/16 -j DROP
iptables -A FORWARD -d 207.195.0.0/16 -j DROP
iptables -A FORWARD -d 184.82.0.0/16 -j DROP
iptables -A FORWARD -d 63.223.0.0/16 -j DROP
iptables -A FORWARD -d 199.217.0.0/16 -j DROP
iptables -A FORWARD -d 87.117.0.0/16 -j DROP
iptables -A FORWARD -d 65.49.0.0/16 -j DROP
iptables -A FORWARD -d 76.31.0.0/16 -j DROP
iptables -A FORWARD -d 76.191.0.0/16 -j DROP
iptables -A FORWARD -d 124.11.0.0/16 -j DROP
iptables -A FORWARD -d 173.212.0.0/16 -j DROP
iptables -A FORWARD -d 95.143.0.0/16 -j DROP
iptables -A FORWARD -d 64.120.0.0/16 -j DROP
iptables -A FORWARD -d 93.186.0.0/16 -j DROP
iptables -A FORWARD -d 173.208.0.0/16 -j DROP
iptables -A FORWARD -d 66.160.0.0/16 -j DROP
iptables -A FORWARD -d 1.168.0.0/16 -j DROP
iptables -A FORWARD -d 61.31.0.0/16 -j DROP
iptables -A FORWARD -d 199.114.0.0/16 -j DROP
iptables -A FORWARD -d 212.69.0.0/16 -j DROP
iptables -A FORWARD -d 114.1.0.0/16 -j DROP
iptables -A FORWARD -d 114.2.0.0/16 -j DROP
iptables -A FORWARD -d 114.3.0.0/16 -j DROP
iptables -A FORWARD -d 37.59.0.0/16 -j DROP
iptables -A FORWARD -d 114.43.0.0/16 -j DROP
iptables -A FORWARD -d 114.42.0.0/16 -j DROP
iptables -A FORWARD -d 114.41.0.0/16 -j DROP
iptables -A FORWARD -d 114.40.0.0/16 -j DROP
iptables -A FORWARD -d 114.26.0.0/16 -j DROP
iptables -A FORWARD -d 114.27.0.0/16 -j DROP
iptables -A FORWARD -d 114.37.0.0/16 -j DROP
iptables -A FORWARD -d 114.38.0.0/16 -j DROP
iptables -A FORWARD -d 114.39.0.0/16 -j DROP
iptables -A FORWARD -d 112.104.0.0/16 -j DROP
iptables -A FORWARD -d 112.105.0.0/16 -j DROP
iptables -A FORWARD -d 111.241.0.0/16 -j DROP
iptables -A FORWARD -d 176.31.0.0/16 -j DROP
iptables -A FORWARD -d 184.22.0.0/16 -j DROP
iptables -A FORWARD -d 69.61.0.0/16 -j DROP
iptables -A FORWARD -d 124.12.0.0/16 -j DROP
iptables -A FORWARD -d 216.198.0.0/16 -j DROP
iptables -A FORWARD -d 72.21.0.0/16 -j DROP
iptables -A FORWARD -d 118.168.0.0/16 -j DROP
iptables -A FORWARD -d 118.169.0.0/16 -j DROP
iptables -A FORWARD -d 118.170.0.0/16 -j DROP
iptables -A FORWARD -d 218.187.0.0/16 -j DROP
iptables -A FORWARD -d 111.250.0.0/16 -j DROP
iptables -A FORWARD -d 111.251.0.0/16 -j DROP
iptables -A FORWARD -d 111.253.0.0/16 -j DROP
iptables -A FORWARD -d 111.248.0.0/16 -j DROP
iptables -A FORWARD -d 111.249.0.0/16 -j DROP
iptables -A FORWARD -d 114.24.0.0/16 -j DROP
iptables -A FORWARD -d 122.121.0.0/16 -j DROP
iptables -A FORWARD -d 64.191.0.0/16 -j DROP
iptables -A FORWARD -d 1.172.0.0/16 -j DROP
iptables -A FORWARD -d 59.104.0.0/16 -j DROP
iptables -A FORWARD -d 1.160.0.0/16 -j DROP
iptables -A FORWARD -d 220.136.0.0/16 -j DROP
iptables -A FORWARD -d 118.166.0.0/16 -j DROP
iptables -A FORWARD -d 118.161.0.0/16 -j DROP
iptables -A FORWARD -d 122.118.0.0/16 -j DROP
iptables -A FORWARD -d 80.79.0.0/16 -j DROP
iptables -A FORWARD -d 1.169.0.0/16 -j DROP
iptables -A FORWARD -d 1.164.0.0/16 -j DROP
iptables -A FORWARD -d 1.162.0.0/16 -j DROP
iptables -A FORWARD -d 207.171.0.0/16 -j DROP
iptables -A FORWARD -d 96.9.0.0/16 -j DROP
iptables -A FORWARD -d 176.131.0.0/16 -j DROP
iptables -A FORWARD -d 60.120.0.0/16 -j DROP
iptables -A FORWARD -d 66.96.0.0/16 -j DROP
iptables -A FORWARD -d 93.86.0.0/16 -j DROP
iptables -A FORWARD -d 46.37.0.0/16 -j DROP
iptables -A FORWARD -d 220.100.0.0/16 -j DROP
iptables -A FORWARD -d 63.245.0.0/16 -j DROP
iptables -A FORWARD -d 46.105.0.0/16 -j DROP
iptables -A FORWARD -d 124.9.0.0/16 -j DROP
iptables -A FORWARD -d 124.8.0.0/16 -j DROP
iptables -A FORWARD -d 184.82.0.0/16 -j DROP
iptables -A FORWARD -d 175.180.0.0/16 -j DROP
iptables -A FORWARD -d 175.182.0.0/16 -j DROP
iptables -A FORWARD -d 36.224.0.0/16 -j DROP
iptables -A FORWARD -d 118.171.0.0/16 -j DROP
iptables -A FORWARD -d 121.102.0.0/16 -j DROP
iptables -A FORWARD -d 111.240.0.0/16 -j DROP
iptables -A FORWARD -d 111.243.0.0/16 -j DROP
iptables -A FORWARD -d 111.252.0.0/16 -j DROP
iptables -A FORWARD -d 114.45.0.0/16 -j DROP
iptables -A FORWARD -d 61.227.0.0/16 -j DROP
iptables -A FORWARD -d 218.173.0.0/16 -j DROP
iptables -A FORWARD -d 114.36.0.0/16 -j DROP
iptables -A FORWARD -d 36.238.0.0/16 -j DROP
iptables -A FORWARD -d 101.128.0.0/16 -j DROP
iptables -A FORWARD -d 1.170.0.0/16 -j DROP
iptables -A FORWARD -d 123.204.0.0/16 -j DROP
iptables -A FORWARD -d 203.67.0.0/16 -j DROP
iptables -A FORWARD -d 111.255.0.0/16 -j DROP
iptables -A FORWARD -d 175.181.0.0/16 -j DROP
iptables -A FORWARD -d 125.230.0.0/16 -j DROP
iptables -A FORWARD -d 118.160.0.0/16 -j DROP
iptables -A FORWARD -d 205.251.0.0/16 -j DROP
iptables -A FORWARD -d 111.246.0.0/16 -j DROP
iptables -A FORWARD -d 36.227.0.0/16 -j DROP
iptables -A FORWARD -d 1.174.0.0/16 -j DROP

Nas novas versões, estarei atualizando a lista para acabar com o reinado desse programa nas redes corporativas.

Valeu galera, até mais.

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Script para ouvir rádios Web no terminal

Modem 3G modelo E173s no Linux

Internet Giro Embratel no Linux

Projeto Software Livre São Paulo

Atualizar Adobe Flash Player Debian Jessie 8.1

  

Comentários
[1] Comentário enviado por bergonzi em 16/11/2012 - 17:18h

como o ultrasurf usa bastante ips dinamicos entáo a melhor forma foi bloquear as faixas das redes que ele usa com mais frequencia , porque sao muitos ips que ele se conecta aqui esta nova lista para adicionar embaixo da lista
#servidores novos
iptables -A FORWARD -p tcp --dport 443 -d 187.7.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.171.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.173.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.174.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.175.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.47.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.46.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 75.36.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.44.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 36.229.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 176.32.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.25.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 118.165.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 64.37.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 218.166.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 66.201.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 38.113.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 112.105.0.0/16 -j DROP

e se algum site nao acessar faca uma conslta dns com o nome do site que ira mostrar o ip pois pode ter algum nessas faixas de redes e libere antes das regras de bloqueio tipo o da google como o meu tava bloqueando a pagina https do site

ai fiz assim
nslookup www.google.com.br 201.10.128.3
Server: 201.10.128.3
Address: 201.10.128.3#53

Non-authoritative answer:
Name: www.google.com.br
Address: 187.7.130.38
Name: www.google.com.br
Address: 187.7.130.32
Name: www.google.com.br
Address: 187.7.130.46
Name: www.google.com.br
Address: 187.7.130.52
Name: www.google.com.br
Address: 187.7.130.24
Name: www.google.com.br
Address: 187.7.130.31
Name: www.google.com.br
Address: 187.7.130.59
Name: www.google.com.br
Address: 187.7.130.45
Name: www.google.com.br
Address: 187.7.130.25
Name: www.google.com.br
Address: 187.7.130.18
Name: www.google.com.br
Address: 187.7.130.39
Name: www.google.com.br
Address: 187.7.130.53

ai usei essas regras para liberar o acesso ou para outro site https
#liberando sitew https
#google
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.18 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.31 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.32 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.38 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.45 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.16 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.52 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.59 -j ACCEPT
vlw

[2] Comentário enviado por whisley em 19/11/2012 - 09:04h

...o jeito mais fácil em vez de colocar zilhões de endereços bloqueados, é descobrir o ip principal, querendo ou não, existe um ip primário, onde se ele
falhar vai para o próximo, se alguma conexão bater no ip 1.2.3.4 ele reconhece que é o ultrasurf e bloqueia, não tenho a regra mas aqui funciona...
...de uma procurada no google, a regra se resume no ip principal e uma ou outra linha sem se preocupar com os infinitos ips que ele usa para
se conectar.....


[3] Comentário enviado por richardbergonzi em 19/11/2012 - 11:27h

ja bloqueei os ips promarios mas mesmo assim ele se conecta, .

[4] Comentário enviado por thiagoams em 28/05/2013 - 11:26h

Galera eu tive esse problema na minha rede, sabe como resolvi, com aplicações e medidas administrativas(demissão/Advertência ou suspensão da parte da gerência dos setores envolvidos), são muitos Ip's para ficar bloqueando.

O que fiz apenas foi aplicar um filtro para monitorar o uso caso tenha.

use o tcpdump, ou redirecione para um arquivo

no meu caso está assim:
cat mon_ultrasurf.sh
/usr/sbin/killall tcpdump
/usr/sbin/tcpdump -i eth0 -qlNnn dst net 65.49.0.0/16 and dst port 443 >> /home/thiago/monitoramento_ultrasurf.txt

Registra a maquina interna que usou o ultrasurf.

att, Thiago



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts