UltraSurf / Iptables / Squid3 - Solução incompleta - Preciso de ajuda

corujitu
(usa Debian)

Enviado em 18/03/2012 - 22:29h

Amigos,

Boa noite!

Vou procurar me estender o mínimo possível na minha dúvida:

A questão é a seguinte: Consegui barrar o UltraSurf na minha rede interna, porém por não dominar tão bem firewall e nem proxy, a solução não ficou plenamente satisfatória, pois tudo com relação a navegação funciona, mas não consigo por exemplo, acessos ssh e ftp de dentro da rede pra fora.

O layout do sistema é o seguinte: Server Linux Distro Debian 2.6.32-5-amd64, squid 3.1.6-1.2+squeeze2 e iptables 1.4.8-3.

Detalhe: Uso proxy manual nas estações, pois foi a única maneira que consegui barrar o UltraSurf.

Vou colocar aqui os links dos arquivos de configuração do firewall, do squid e um script q roda junto para fazer o direcionamento de link pro gateway da rede (acredito que com a ajuda de vocês eu vá eliminar algumas regras do firewall e até mesmo esse script de gateway.

Link para script do firewal: www.iznet.com.br/firewall_dia
Link para script de balance: www.iznet.com.br/balance_control
Link para configs do squid: www.iznet.com.br/squid.conf

Nas estações, o proxy está manual, e nas configurações TCP/IP não existe nem gateway e nem DNS. Só IP e Máscara.

Com certeza os amigos vão encontrar regras obsoletas ou que estejam interferindo umas nas outras.

Um detalhe importante é que dentro do firewall o ip_forward esta desabilitado. Com isso, tenho internet normal nas estações, mas não tenho acesso a ssh nem ftp externos.

Se eu habilito o ip_forward no firewall e coloco gateway e dns nas estações, ai volto a ter esses serviços, mas aí o UltraSurf volta a conectar.

É isso. Espero ter sido claro, e fico aguardando a ajuda dos amigos pra resolver esse problema.

Abraço a todos.

phrich
(usa Slackware)

Enviado em 19/03/2012 - 15:42h

Isso pode lhe ajudar:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

corujitu
(usa Debian)

Enviado em 19/03/2012 - 18:02h

Grande phrich.

Realmente seu Artigo está muito bem feito e bem detalhado, além de muito bem organizado.

É provável que se eu usar seus scripts e configurações eu resolva meu problema, mas continuaria sem entender o que está errado com minhas regras atuais.

Gostaria de entender onde estou errando e não simplesmente pegar uma solução pronta, entendeu?

Então se poder dar uma olhada no que tô fazendo de errado, agradeceria muito.

De qualquer forma, agradeço demais a atenção e as dicas do seu artigo. Está muito bom.

Parabéns e forte abraço.

phrich
(usa Slackware)

Enviado em 19/03/2012 - 22:46h

Fala corujitu, cara a idéia não é vc pegar pronto e sim vc ler, entender estudar e adaptar para as regras que vc já tem, não leve como "receita de bolo" nunca.

Acredito que se vc ler um pouco mais, vc vai entender onde vc está errando, precisando estamos ai.

corujitu
(usa Debian)

Enviado em 20/03/2012 - 00:19h

Fala grande phrich,

Entendi sim sua proposta, e pode ter certeza que li todo o seu artigo, até o elogiei por isso.

A questão é que seu sistema e o meu, são um pouco diferentes. Principalmente no que diz respeito a firewall, uma vez q você usa somente o MASQUERADE pra compartilhar a net, enquanto uso o SNAT, entre outras coisas, como controle individual de acessos por IP, script para balanceamento de link, caso hajam dois ou mais links de saida, etc.

Mas vou tentar analisar seus scripts e botar pra rodar pra ver se vai bloquear o UltraSurf, que afinal é o foco principal desse tópico.

Mais uma vez obrigado pela ajuda.

Abraço.

phrich
(usa Slackware)

Enviado em 20/03/2012 - 09:32h

Então, o ultrasurf utiliza diversas portas para se comunicar, se vc especificar todas as políticas como DROP, vc não terá este problema, pois ai, vc irá liberar apenas o necessário, vamos supor que iremos apenas liberar a porta 22 para o seu firewall, liberar a porta 80 para acesso a internet a partir do seu firewall e apenas a porta 110 para sua rede interna:


# POLITICAS PADRÕES
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# "CRIA A IDA E A VOLTA"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# LIBERA AS PORTAS CITADAS
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT


Tenta usar o ultrasurf com essas confs ai (kkk)

No demais estamos ai!

saitam
(usa Slackware)

Enviado em 20/03/2012 - 09:52h

Para barrar Ultrasurf, TOR é iniciar as regras iptables(firewall) tudo DROP e liberando apenas os serviços necessários para sua rede.
JAMAIS liberar as portas 80 e 443 no FORWARD (na sua rede).

Também usar proxy autenticado no squid, senão de nada adianta se for proxy transparent.