[FUG-BR] bloquear ultrasurf

Enio Marconcini eniorm em gmail.com
Quinta Novembro 3 10:02:03 BRST 2011 

2011/11/3 Analista Informatica - Destilaria Agua Bonita <
analistati em aguabonita.com.br>

>
> ______________________ Luciano O. Bissoli - T.I. Destilaria Água Bonita
> Ltda. Fone/Fax: (18)3373-4400/4401 www.aguabonita.com.br
> analistati em aguabonita.com.br
> ----- Original Message -----
> From: "Paulo Henrique BSD Brasil" <paulo.rddck em bsd.com.br>
> To: <freebsd em fug.com.br>
> Sent: Wednesday, November 02, 2011 8:20 PM
> Subject: Re: [FUG-BR] bloquear ultrasurf
>
>
> Em 02/11/2011 21:03, vic escreveu:
> > Em Qua 02 Nov 2011 16:55:27 BRST, Paulo Henrique BSD Brasil escreveu:
> >> Tipo primeiro podemos fazer o seguinte.
> >>
> >> 1 - Disserte sobre o seu ambiente.
> >> 2 - Disponibilize informações técnicas como sistema operacional,
> >> firewall, método de configuração atualmente empregado.
> >> 3 - Esclareça ponto do seu ambiente no qual a configuração de um
> >> recursos possa interferir em outro ( https é um recursos complicado de
> >> gerenciar ).
> >>
> >> Se achou tudo isso muito complicado podemos simplificar  e pedir para
> >> você procurar no google, ou mesmo ler a maldita documentação que pelo
> >> visto você nem sabe da existência !!!
> >>
> >> Espero ter ajudado !!!
> >>
> >> Uma otima tarde !!! :P)>
> >>
> >> Em 02/11/2011 16:35, Flavio Souza escreveu:
> >>> Preciso bloquear o ultra surf, a questão é, vai ser preciso bloquear a
> >>> port
> >>> 443. qual seria a regra para bloquear? e depois como eu posso libera
> aos
> >>> poucos os sites que usa a mesma port e especificando o ip da rede
> >>> interna
> >>> para ter acesso?
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > Paulo, não fale dessa maneira. Documentação é algo excelente!
> >
> Flávio, não leve a mal não quero fazê-lo passar por ridículo, é que de
> vez em quando aparece perguntas cujo já há exemplos na própria
> documentação, por isso pedi para lê-la.
>
> E outra aqui na FUG o pessoal é tranquilo, sossegado, amanhã talvez
> precisará usar as listas internacionais, lá o pessoal não é nada educado
> com relação de perguntas em que a própria documentação responde
> explicitamente.
>
> Outro fator interessante é aprender a perguntar, avalie a sua pergunta
> "Como bloquear o ultrasurf, vi que tem que bloquear a porta 443, como
> faço isso"
>
> Para não dizer que só falei e nada fiz vai ai as regras.
>
> IPFW+FreeBSD
> ipfw add 0001 deny all from any to any 443
>
> PF+FreeBSD/OpenBSD
>
> block quick in on $minha_intranet_interface inet proto tcp from any to
> ($minha_internet_interface) port 443 flags S/SA keep state
>
> IPTables+Linux
>
> iptables -A OUTPUT -t filter -d $minha_rede --dest-port 443 -j DROP (
> Verifique a sintaxe pois faz muito tempo que não o uso ).
>
> Espero ter ajudado !!! :D
>
> Vai por fé, faz a mesma pergunta na lista freebsd em freebsd.org e verá
> como será respondido.
>
> Se achar que não o pessoal da FUG, mais eu fui mal educado em pedir para
> você ler a documentação, creio que passou então da hora de lê-la.
>
> Att.
>
>
> --
> "Quando a Morte decide contar uma historia,
> A melhor ação que possa fazer é ouvi-la,
> e torcer por não ser a sua própria a tal história."
>
> Paulo Henrique.
> Analista de Sistemas / Programador
> BSDs Brasil.
> Genuine Unix/BSD User.
> Fone: (21) 9683-5433.
>
>
> Bom dia pessoal.
>
> Sem querer apimentar mais esse tópico. Estou com o mesmo problema aqui na
> empresa. Porem bloquear a porta 443 geral e liberar apenas para as maquinas
> que usa é complicado, pois não é só banco que utiliza essa porta. Existe
> uma
> maneira mais refinada de tratar o pacote do ultrasurf para não ter que
> bloquear a porta 443 geral?
>
> Att.
>
> Luciano O. Bissoli
> Analista Informatica - Destilaria Água Bonita
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



nos meus testes eu notei que o ultrasurf usava a porta 443 e que todas as
conexões são destinadas a diversos IPs e não urls, consegui bloquear fácil,
sem bloquear a porta 443 (que na minha idéia iria causar mais dor de cabeça
para depois sair liberando os sites confiáveis)

eu no meu caso uso um gateway freebsd com lusca(squid), e todas as conexões
passa por esse gfateway, consegui o bloqueio ao ultrasurf criando uma acl
dessa forma:

acl ips_dst_liberados dst
"/usr/local/etc/squid/regras/ips_dst_liberados.txt"
acl blockip1 dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl blockip2 url_regex
^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
http_access allow ips_dst_liberados
http_access deny blockip1
http_access deny blockip2

com isso eu bloqueio acesso aos ips, nos meus testes o ultrasurf não
conseguiu conectar, porém quando algum site busca algo via IP, preciso por
esse ip na lista dos liberados para passar, mas pelo menos achei mais fácil
que bloquear tudo e depois sair liberando sites de bancos e outros
confiáveis que usa 443


-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>

*"UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things."
*

Mais detalhes sobre a lista de discussão freebsd