UltraSurf como bloquear

andrezc
(usa Debian)

Enviado em 10/07/2009 - 20:47h

1. Usei a política DROP no Iptables, bloqueando todas as portas e liberando o que era necessário.

2. Fechei o acesso no Squid para todas as conexões SSL que eu não queria liberar, assim:

acl sitesssl url_regex -i "/etc/squid/sitesssl"
http_access deny SSL_ports !sitesssl

No arquivo /etc/squid/sitesssl estão os sites liberados, entre eles, bancos, gmail, hotmail, messenger.

Detalhe: NÃO funciona com proxy transparente.

Para saber se os usuários estão usando o Ultrasurf basta visualizar os relatórios de acesso. Caso apareçam muitas conexões pela porta 443 com um número significativo de IPs (não vai resolver nomes), o usuário está usando o programa.

elgio
(usa OpenSuSE)

Enviado em 10/07/2009 - 21:10h

Listas de IPS?
Mudam toda hora.

Bloquear 443?
Teria que inserir listas enormes de permitidos. (e alguém por acaso observou que muitos ips são do google? Ele pesquisa via google)

Proxy?
Não funciona transparente.

O que eu faço?

Qualquer versão de UltraSurf começa fazendo uma varredura em diversos IPS na porta 443. Ele quer descobrir qual dos ips tem e obter listas de novos proxies atualizados. Se você estiver LOGANDO por iptables acessos a porta 443, poderá identificar um comportamento ATIPICO: um cliente acessando muitos IPS na 443 em um curtíssimo período de tempo, tão pequeno que nenhum ser humano conseguiria abrir tantas janelas assim. Ai está um padrão.

Quando pego ESTE padrão, eu bloqueio o IP do cliente que usou/tentou usar e chamo-o para "uma conversa".

fwt1
(usa Ubuntu)

Enviado em 31/07/2009 - 20:58h

Olha pessoal sou novato no forum apesar de frequenta-lo a anos estou engatinhando no linux mas achei interessante postar este link aqui com regras de bloqueio ps estou adorando o forum e o Linux http://gutocarvalho.net/mediawiki/index.php?title=NoSurf&oldid=1192

libraswifi
(usa Slackware)

Enviado em 04/08/2009 - 07:37h

Essa semana testei mais algumas formas de bloqueio do ultrasurf, veja abaixo:

#!/bin/bash
# Limpando regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

# Liberando a porta do rndc do bind
iptables -A INPUT -p tcp --dport 953 --syn -s 127.0.0.1 -j ACCEPT

#Libera o loopback
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

#Proteção contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Proteção contra port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP

# Liberando acesso por mac
iptables -A INPUT -s 192.168.0.230 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT # MobileHp

# Bloqueando pacotes vindo dos ips com macs diferentes dos liberads
iptables -A INPUT -s 192.168.0.230 -m mac --mac-source ! 00:00:00:00:00:00 -j DROP # MobileHp

# Redirecionando para o FrontEnd
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d 192.168.0.0/24 -j REDIRECT --to-port 8080

# Redirecionando trafego da porta 80 para o squid em 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Mascarando rede
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

# Fechando demais portas tcp
iptables -A INPUT -p tcp --syn -j DROP
iptables -A FORWARD -p tcp --syn -j DROP


com o firewall assim o ultrasurf não navega mais. Lembre-se de desativar o ip_forward.

fwt1
(usa Ubuntu)

Enviado em 05/08/2009 - 03:25h

Sou novato no forúm e no linux como disse anteriormente na sua regra o bloqueia o ultrasurf é o fato de o forward estar como drop ???? e qual a desvantagem do forward estar desabilitado e por que vc redirecionou a porta 80 para 8080 pelo que entidi seu proxy não é transparente

desde já agradeço

hrapytor
(usa Debian)

Enviado em 23/08/2009 - 00:53h

É só bloquear a porta 443 no iptables e liberar apenas para os destinos necessários tipo sites de bancos, uso aqui na empresa e funciona legal. Tem um outro mais espertinho que o ultra surf chama-se free gateway, mas tb não funciona se bloquear a porta 443.

hrapytor
(usa Debian)

Enviado em 01/10/2009 - 20:27h

Post antigo mais vai ai a dica pra quem quer bloquear.

É só fechar todas as portas do firewall e liberar somente para os endereços de destino que precisar, principalamente as portas 80 e 443, usadas por esses programas de proxy para se conectar.

Fechou as portas já era não conecta nem com reza.

fabiobarby
(usa Debian)

Enviado em 02/10/2009 - 13:01h

Olá!

Uso o mesmo critério que o Elgio, fico de olho no log, quando existem muitas requisições passando pela porta 443 possivelmente trata-se do US.
Prefiro bloquear a porta 443 do client e só depois que ele senta no colinho do patrão volto a liberar a porta.

para monitorar uso:
# tcpdump -i eth1 tcp and port 443 | grep hinet
onde, "hinet" é um dos servidores mais usados pelo US, ok!)

e se, por exemplo, aparecem muitas requisições do ip 192.168.4.3 eu faço:
# iptables -I FORWARD -s 192.168.4.3 -p tcp --dport 443 -j DROP

depois do client (usuário) ir falar com o patrão libera denovo...

isso se o cara não for mandado direto pro Dpto Pessoal!

vlw!

removido
(usa Nenhuma)

Enviado em 27/10/2009 - 15:50h

Fiz um breve artigo sobre como bloquear o ultra surf usando o GPO no AD.

Caso não use AD pode usar a police local e fazer a mesma configuração.

Comigo funcionou e acabou o pesadelo do ultrasurf

http://hernaneac.spaces.live.com/blog/cns!C978AD9F4FABB67A!304.entry

fbsalvi
(usa Outra)

Enviado em 20/11/2009 - 08:19h

Ola, basta bloquear a porta 443 e ja era, os espertinhos irao quebrar a cara... eu uso proxy transparente e dropei a porta 443 e so libero ela prakilo que precisa mesmo...

Ja era, nem ultrasurf, nem tor..

Abraços.

galaxy_interior
(usa Outra)

Enviado em 20/11/2009 - 11:30h

Poderíam então explicar para esse iniciante que vos fala, a regra do iptables q bloqueia a porta 443 e a lista de sites liberados que necessitam do 443?

Uso iptables, squid (sem proxy transparente) e debian 5.

fbsalvi
(usa Outra)

Enviado em 23/11/2009 - 08:37h

Entao eu faço tudo pelo iptables mesmo...

(bloquear porta 443)

iptables -A INPUT -s <IP> -p tcp --dport 443 -j DROP
iptables -A INPUT -s <IP> -p udp --dport 443 -j DROP


<ip> = o ip (rede local) que vc deseja travar na na porta 443, ou se quizer, feche para a sua rede exemplo (192.168.0.0/24)

LIBERAR POR EXEMPLO:

iptables -A INPUT -s <ip> -p tcp -d (site ou ip) -j ACCEPT
iptables -A OUTPUT -s <ip> -p tcp -d (site ou ip) -j ACCEPT
iptables -A FORWARD -s <ip> -p tcp -d (site ou ip) -j ACCEPT
iptables -t nat -A PREROUTING -s <ip> -p tcp -d (site ou ip) --dport 443 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -d (site ou ip) -j MASQUERADE

Veja exemplo para liverar acesso ao msn (porta 443 e porta 80):

iptables -A INPUT -s 192.168.0.3 -p tcp -d login.live.com -j ACCEPT
iptables -A OUTPUT -s 192.168.3 -p tcp -d login.live.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -p tcp -d login.live.com -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.3 -p tcp -d login.live.com --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.3 -p tcp -d login.live.com --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -d login.live.com -j MASQUERADE

Lembrando coloque essas regras liberando antes e depois fecha a porta...

ISSO tudo feito no iptables...

Isso e que uso aki e da certim...

Existem outras maneiras mas essa aki resolve...

Fabiano.