[FUG-BR] bloquear ultrasurf

Paulo Henrique - YM paulo.rddck em yahoo.com.br
Quinta Novembro 3 15:00:47 BRST 2011 

Em 03/11/2011 10:02, Enio Marconcini escreveu:
> 2011/11/3 Analista Informatica - Destilaria Agua Bonita<
> analistati em aguabonita.com.br>
>
>> ______________________ Luciano O. Bissoli - T.I. Destilaria Água Bonita
>> Ltda. Fone/Fax: (18)3373-4400/4401 www.aguabonita.com.br
>> analistati em aguabonita.com.br
>> ----- Original Message -----
>> From: "Paulo Henrique BSD Brasil"<paulo.rddck em bsd.com.br>
>> To:<freebsd em fug.com.br>
>> Sent: Wednesday, November 02, 2011 8:20 PM
>> Subject: Re: [FUG-BR] bloquear ultrasurf
>>
>>
>> Em 02/11/2011 21:03, vic escreveu:
>>> Em Qua 02 Nov 2011 16:55:27 BRST, Paulo Henrique BSD Brasil escreveu:
>>>> Tipo primeiro podemos fazer o seguinte.
>>>>
>>>> 1 - Disserte sobre o seu ambiente.
>>>> 2 - Disponibilize informações técnicas como sistema operacional,
>>>> firewall, método de configuração atualmente empregado.
>>>> 3 - Esclareça ponto do seu ambiente no qual a configuração de um
>>>> recursos possa interferir em outro ( https é um recursos complicado de
>>>> gerenciar ).
>>>>
>>>> Se achou tudo isso muito complicado podemos simplificar  e pedir para
>>>> você procurar no google, ou mesmo ler a maldita documentação que pelo
>>>> visto você nem sabe da existência !!!
>>>>
>>>> Espero ter ajudado !!!
>>>>
>>>> Uma otima tarde !!! :P)>
>>>>
>>>> Em 02/11/2011 16:35, Flavio Souza escreveu:
>>>>> Preciso bloquear o ultra surf, a questão é, vai ser preciso bloquear a
>>>>> port
>>>>> 443. qual seria a regra para bloquear? e depois como eu posso libera
>> aos
>>>>> poucos os sites que usa a mesma port e especificando o ip da rede
>>>>> interna
>>>>> para ter acesso?
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> Paulo, não fale dessa maneira. Documentação é algo excelente!
>>>
>> Flávio, não leve a mal não quero fazê-lo passar por ridículo, é que de
>> vez em quando aparece perguntas cujo já há exemplos na própria
>> documentação, por isso pedi para lê-la.
>>
>> E outra aqui na FUG o pessoal é tranquilo, sossegado, amanhã talvez
>> precisará usar as listas internacionais, lá o pessoal não é nada educado
>> com relação de perguntas em que a própria documentação responde
>> explicitamente.
>>
>> Outro fator interessante é aprender a perguntar, avalie a sua pergunta
>> "Como bloquear o ultrasurf, vi que tem que bloquear a porta 443, como
>> faço isso"
>>
>> Para não dizer que só falei e nada fiz vai ai as regras.
>>
>> IPFW+FreeBSD
>> ipfw add 0001 deny all from any to any 443
>>
>> PF+FreeBSD/OpenBSD
>>
>> block quick in on $minha_intranet_interface inet proto tcp from any to
>> ($minha_internet_interface) port 443 flags S/SA keep state
>>
>> IPTables+Linux
>>
>> iptables -A OUTPUT -t filter -d $minha_rede --dest-port 443 -j DROP (
>> Verifique a sintaxe pois faz muito tempo que não o uso ).
>>
>> Espero ter ajudado !!! :D
>>
>> Vai por fé, faz a mesma pergunta na lista freebsd em freebsd.org e verá
>> como será respondido.
>>
>> Se achar que não o pessoal da FUG, mais eu fui mal educado em pedir para
>> você ler a documentação, creio que passou então da hora de lê-la.
>>
>> Att.
>>
>>
>> --
>> "Quando a Morte decide contar uma historia,
>> A melhor ação que possa fazer é ouvi-la,
>> e torcer por não ser a sua própria a tal história."
>>
>> Paulo Henrique.
>> Analista de Sistemas / Programador
>> BSDs Brasil.
>> Genuine Unix/BSD User.
>> Fone: (21) 9683-5433.
>>
>>
>> Bom dia pessoal.
>>
>> Sem querer apimentar mais esse tópico. Estou com o mesmo problema aqui na
>> empresa. Porem bloquear a porta 443 geral e liberar apenas para as maquinas
>> que usa é complicado, pois não é só banco que utiliza essa porta. Existe
>> uma
>> maneira mais refinada de tratar o pacote do ultrasurf para não ter que
>> bloquear a porta 443 geral?
>>
>> Att.
>>
>> Luciano O. Bissoli
>> Analista Informatica - Destilaria Água Bonita
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
> nos meus testes eu notei que o ultrasurf usava a porta 443 e que todas as
> conexões são destinadas a diversos IPs e não urls, consegui bloquear fácil,
> sem bloquear a porta 443 (que na minha idéia iria causar mais dor de cabeça
> para depois sair liberando os sites confiáveis)
>
> eu no meu caso uso um gateway freebsd com lusca(squid), e todas as conexões
> passa por esse gfateway, consegui o bloqueio ao ultrasurf criando uma acl
> dessa forma:
>
> acl ips_dst_liberados dst
> "/usr/local/etc/squid/regras/ips_dst_liberados.txt"
> acl blockip1 dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
> acl blockip2 url_regex
> ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
> http_access allow ips_dst_liberados
> http_access deny blockip1
> http_access deny blockip2
>
> com isso eu bloqueio acesso aos ips, nos meus testes o ultrasurf não
> conseguiu conectar, porém quando algum site busca algo via IP, preciso por
> esse ip na lista dos liberados para passar, mas pelo menos achei mais fácil
> que bloquear tudo e depois sair liberando sites de bancos e outros
> confiáveis que usa 443
>
>
Mais o proxy tem que ser setado no browser para funcionar, como 
transparente não dá certo.

Mais detalhes sobre a lista de discussão freebsd