IPtables - Bloqueando o UltraSurf

Publicado por richard giovanni jose bergonzi em 16/11/2012

[ Hits: 3.897 ]

 


IPtables - Bloqueando o UltraSurf



Aqui está a regra de IPtables para bloquear o UltraSurf (versões: 12.02, 12.04 e 12.05), depois de 3 dias vendo os servidores que ele conecta.

Coloque as regras em cima, antes da liberação de qualquer coisa no IPtables:

#bloqueio do ultrasurf
iptables -A FORWARD -d 69.61.0.0/16 -j DROP
iptables -A FORWARD -d 199.114.0.0/16 -j DROP
iptables -A FORWARD -d 46.22.0.0/16 -j DROP
iptables -A FORWARD -d 111.254.0.0/16 -j DROP
iptables -A FORWARD -d 149.5.0.0/16 -j DROP
iptables -A FORWARD -d 211.74.0.0/16 -j DROP
iptables -A FORWARD -d 46.105.0.0/16 -j DROP
iptables -A FORWARD -d 207.195.0.0/16 -j DROP
iptables -A FORWARD -d 184.82.0.0/16 -j DROP
iptables -A FORWARD -d 63.223.0.0/16 -j DROP
iptables -A FORWARD -d 199.217.0.0/16 -j DROP
iptables -A FORWARD -d 87.117.0.0/16 -j DROP
iptables -A FORWARD -d 65.49.0.0/16 -j DROP
iptables -A FORWARD -d 76.31.0.0/16 -j DROP
iptables -A FORWARD -d 76.191.0.0/16 -j DROP
iptables -A FORWARD -d 124.11.0.0/16 -j DROP
iptables -A FORWARD -d 173.212.0.0/16 -j DROP
iptables -A FORWARD -d 95.143.0.0/16 -j DROP
iptables -A FORWARD -d 64.120.0.0/16 -j DROP
iptables -A FORWARD -d 93.186.0.0/16 -j DROP
iptables -A FORWARD -d 173.208.0.0/16 -j DROP
iptables -A FORWARD -d 66.160.0.0/16 -j DROP
iptables -A FORWARD -d 1.168.0.0/16 -j DROP
iptables -A FORWARD -d 61.31.0.0/16 -j DROP
iptables -A FORWARD -d 199.114.0.0/16 -j DROP
iptables -A FORWARD -d 212.69.0.0/16 -j DROP
iptables -A FORWARD -d 114.1.0.0/16 -j DROP
iptables -A FORWARD -d 114.2.0.0/16 -j DROP
iptables -A FORWARD -d 114.3.0.0/16 -j DROP
iptables -A FORWARD -d 37.59.0.0/16 -j DROP
iptables -A FORWARD -d 114.43.0.0/16 -j DROP
iptables -A FORWARD -d 114.42.0.0/16 -j DROP
iptables -A FORWARD -d 114.41.0.0/16 -j DROP
iptables -A FORWARD -d 114.40.0.0/16 -j DROP
iptables -A FORWARD -d 114.26.0.0/16 -j DROP
iptables -A FORWARD -d 114.27.0.0/16 -j DROP
iptables -A FORWARD -d 114.37.0.0/16 -j DROP
iptables -A FORWARD -d 114.38.0.0/16 -j DROP
iptables -A FORWARD -d 114.39.0.0/16 -j DROP
iptables -A FORWARD -d 112.104.0.0/16 -j DROP
iptables -A FORWARD -d 112.105.0.0/16 -j DROP
iptables -A FORWARD -d 111.241.0.0/16 -j DROP
iptables -A FORWARD -d 176.31.0.0/16 -j DROP
iptables -A FORWARD -d 184.22.0.0/16 -j DROP
iptables -A FORWARD -d 69.61.0.0/16 -j DROP
iptables -A FORWARD -d 124.12.0.0/16 -j DROP
iptables -A FORWARD -d 216.198.0.0/16 -j DROP
iptables -A FORWARD -d 72.21.0.0/16 -j DROP
iptables -A FORWARD -d 118.168.0.0/16 -j DROP
iptables -A FORWARD -d 118.169.0.0/16 -j DROP
iptables -A FORWARD -d 118.170.0.0/16 -j DROP
iptables -A FORWARD -d 218.187.0.0/16 -j DROP
iptables -A FORWARD -d 111.250.0.0/16 -j DROP
iptables -A FORWARD -d 111.251.0.0/16 -j DROP
iptables -A FORWARD -d 111.253.0.0/16 -j DROP
iptables -A FORWARD -d 111.248.0.0/16 -j DROP
iptables -A FORWARD -d 111.249.0.0/16 -j DROP
iptables -A FORWARD -d 114.24.0.0/16 -j DROP
iptables -A FORWARD -d 122.121.0.0/16 -j DROP
iptables -A FORWARD -d 64.191.0.0/16 -j DROP
iptables -A FORWARD -d 1.172.0.0/16 -j DROP
iptables -A FORWARD -d 59.104.0.0/16 -j DROP
iptables -A FORWARD -d 1.160.0.0/16 -j DROP
iptables -A FORWARD -d 220.136.0.0/16 -j DROP
iptables -A FORWARD -d 118.166.0.0/16 -j DROP
iptables -A FORWARD -d 118.161.0.0/16 -j DROP
iptables -A FORWARD -d 122.118.0.0/16 -j DROP
iptables -A FORWARD -d 80.79.0.0/16 -j DROP
iptables -A FORWARD -d 1.169.0.0/16 -j DROP
iptables -A FORWARD -d 1.164.0.0/16 -j DROP
iptables -A FORWARD -d 1.162.0.0/16 -j DROP
iptables -A FORWARD -d 207.171.0.0/16 -j DROP
iptables -A FORWARD -d 96.9.0.0/16 -j DROP
iptables -A FORWARD -d 176.131.0.0/16 -j DROP
iptables -A FORWARD -d 60.120.0.0/16 -j DROP
iptables -A FORWARD -d 66.96.0.0/16 -j DROP
iptables -A FORWARD -d 93.86.0.0/16 -j DROP
iptables -A FORWARD -d 46.37.0.0/16 -j DROP
iptables -A FORWARD -d 220.100.0.0/16 -j DROP
iptables -A FORWARD -d 63.245.0.0/16 -j DROP
iptables -A FORWARD -d 46.105.0.0/16 -j DROP
iptables -A FORWARD -d 124.9.0.0/16 -j DROP
iptables -A FORWARD -d 124.8.0.0/16 -j DROP
iptables -A FORWARD -d 184.82.0.0/16 -j DROP
iptables -A FORWARD -d 175.180.0.0/16 -j DROP
iptables -A FORWARD -d 175.182.0.0/16 -j DROP
iptables -A FORWARD -d 36.224.0.0/16 -j DROP
iptables -A FORWARD -d 118.171.0.0/16 -j DROP
iptables -A FORWARD -d 121.102.0.0/16 -j DROP
iptables -A FORWARD -d 111.240.0.0/16 -j DROP
iptables -A FORWARD -d 111.243.0.0/16 -j DROP
iptables -A FORWARD -d 111.252.0.0/16 -j DROP
iptables -A FORWARD -d 114.45.0.0/16 -j DROP
iptables -A FORWARD -d 61.227.0.0/16 -j DROP
iptables -A FORWARD -d 218.173.0.0/16 -j DROP
iptables -A FORWARD -d 114.36.0.0/16 -j DROP
iptables -A FORWARD -d 36.238.0.0/16 -j DROP
iptables -A FORWARD -d 101.128.0.0/16 -j DROP
iptables -A FORWARD -d 1.170.0.0/16 -j DROP
iptables -A FORWARD -d 123.204.0.0/16 -j DROP
iptables -A FORWARD -d 203.67.0.0/16 -j DROP
iptables -A FORWARD -d 111.255.0.0/16 -j DROP
iptables -A FORWARD -d 175.181.0.0/16 -j DROP
iptables -A FORWARD -d 125.230.0.0/16 -j DROP
iptables -A FORWARD -d 118.160.0.0/16 -j DROP
iptables -A FORWARD -d 205.251.0.0/16 -j DROP
iptables -A FORWARD -d 111.246.0.0/16 -j DROP
iptables -A FORWARD -d 36.227.0.0/16 -j DROP
iptables -A FORWARD -d 1.174.0.0/16 -j DROP

Nas novas versões, estarei atualizando a lista para acabar com o reinado desse programa nas redes corporativas.

Valeu galera, até mais.

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

PHP - Fatal error: Allowed memory size of bytes exhausted [Resolvido]

Redirecionando a porta 80 para o Squid com iptables

Adobe Flash Player x86_64 no Linux 64-bits

Configurando IP em uma placa de rede

Flash Player no Google Chrome

  

Comentários
[1] Comentário enviado por bergonzi em 16/11/2012 - 17:18h

como o ultrasurf usa bastante ips dinamicos entáo a melhor forma foi bloquear as faixas das redes que ele usa com mais frequencia , porque sao muitos ips que ele se conecta aqui esta nova lista para adicionar embaixo da lista
#servidores novos
iptables -A FORWARD -p tcp --dport 443 -d 187.7.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.171.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.173.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.174.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 1.175.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.47.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.46.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 75.36.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.44.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 36.229.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 176.32.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 114.25.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 118.165.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 64.37.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 218.166.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 66.201.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 38.113.0.0/16 -j DROP
iptables -A FORWARD -p tcp --dport 443 -d 112.105.0.0/16 -j DROP

e se algum site nao acessar faca uma conslta dns com o nome do site que ira mostrar o ip pois pode ter algum nessas faixas de redes e libere antes das regras de bloqueio tipo o da google como o meu tava bloqueando a pagina https do site

ai fiz assim
nslookup www.google.com.br 201.10.128.3
Server: 201.10.128.3
Address: 201.10.128.3#53

Non-authoritative answer:
Name: www.google.com.br
Address: 187.7.130.38
Name: www.google.com.br
Address: 187.7.130.32
Name: www.google.com.br
Address: 187.7.130.46
Name: www.google.com.br
Address: 187.7.130.52
Name: www.google.com.br
Address: 187.7.130.24
Name: www.google.com.br
Address: 187.7.130.31
Name: www.google.com.br
Address: 187.7.130.59
Name: www.google.com.br
Address: 187.7.130.45
Name: www.google.com.br
Address: 187.7.130.25
Name: www.google.com.br
Address: 187.7.130.18
Name: www.google.com.br
Address: 187.7.130.39
Name: www.google.com.br
Address: 187.7.130.53

ai usei essas regras para liberar o acesso ou para outro site https
#liberando sitew https
#google
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.18 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.31 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.32 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.38 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.45 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.16 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.52 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -d 187.7.130.59 -j ACCEPT
vlw

[2] Comentário enviado por whisley em 19/11/2012 - 09:04h

...o jeito mais fácil em vez de colocar zilhões de endereços bloqueados, é descobrir o ip principal, querendo ou não, existe um ip primário, onde se ele
falhar vai para o próximo, se alguma conexão bater no ip 1.2.3.4 ele reconhece que é o ultrasurf e bloqueia, não tenho a regra mas aqui funciona...
...de uma procurada no google, a regra se resume no ip principal e uma ou outra linha sem se preocupar com os infinitos ips que ele usa para
se conectar.....


[3] Comentário enviado por richardbergonzi em 19/11/2012 - 11:27h

ja bloqueei os ips promarios mas mesmo assim ele se conecta, .

[4] Comentário enviado por thiagoams em 28/05/2013 - 11:26h

Galera eu tive esse problema na minha rede, sabe como resolvi, com aplicações e medidas administrativas(demissão/Advertência ou suspensão da parte da gerência dos setores envolvidos), são muitos Ip's para ficar bloqueando.

O que fiz apenas foi aplicar um filtro para monitorar o uso caso tenha.

use o tcpdump, ou redirecione para um arquivo

no meu caso está assim:
cat mon_ultrasurf.sh
/usr/sbin/killall tcpdump
/usr/sbin/tcpdump -i eth0 -qlNnn dst net 65.49.0.0/16 and dst port 443 >> /home/thiago/monitoramento_ultrasurf.txt

Registra a maquina interna que usou o ultrasurf.

att, Thiago



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts