Bloqueando Ultrasurf 9.8 com iptables

Publicado por Hedertone Vieira Almeida em 22/12/2009

[ Hits: 9.741 ]

0 0

Denuncie Favoritos Indicar Impressora

Bloqueando Ultrasurf 9.8 com iptables

Depois de muita briga consegui bloquear o Ultrasurf de uma forma meio que "bruta", mas está funcionando perfeitamente. O que fiz foi liberar apenas acesso 443 a sites provenientes do Brasil (pelo menos até agora os brasileiros estão 100%). Alguns vão achar esquisito, o Youtube abre etc mas o U98 não se conecta nem com reza braba.

Vamos a prática. No meu firewall tenho tudo dropado, todas as portas tiveram que ser liberadas uma a uma. Para liberar a 443 pesquisei por ranges provenientes do Brasil e encontrei as seguintes:

iptables -A FORWARD -p tcp -s 189.21.0.0/15 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s 189.22.0.0/16 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s 200.0.0.0/8 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s 201.0.0.0/8 --dport 443 -j ACCEPT

Bom... até agora não tive problemas, ou melhor, apenas o Gmail não funcionou. Mas depois de ter inserido essa linha o problema foi resolvido. Exemplo, liberando Gmail:

iptables -A FORWARD -i ethx -d 64.233.163.0/24 -j ACCEPT

Fico a disposição e também aberto a críticas caso não funcione, afinal, cada caso é um caso.

Abraço!

Outras dicas deste autor

Instalando o CACIC 2.4

Planilha para facilitar definição de máscara no chmod

Leitura recomendada

Bloqueando alteração de papel de parede

Testando desempenho de seu Web Server com SIEGE

Como editar arquivos ODF sem um editor com suporte a ODF

Como atualizar o Java (JDK) no Slackware 14.2: superando o erro no sbopkg

Prova LPI no Rio de Janeiro em Novembro

Comentários

[1] Comentário enviado por hedertone em 22/12/2009 - 10:26h

algumas exceções

#criando essa regra ficou mais organizado.

for URL in `grep -v "^#" /firewall/https.wl`; do
iptables -I FORWARD -p tcp --dport 443 -d $URL -j ACCEPT
done

###Sistemas internos####
iptables -I FORWARD -p tcp --dport 3389 -d xxx.xxx.xxx.xxx -j ACCEPT #parece zueira, mas ele acabou caindo na malha fria.

###############################
# YAHOO REQUER REGRAS DIFERENTES #
###############################

iptables -A FORWARD -p tcp -i eth1 -d 206.190.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -d 204.160.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -d 69.147.112.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -d 76.13.6.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -d 72.246.216.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -d 209.191.92.0/24 -j ACCEPT

Até o momento, nada de ultra surf na rede.

Ps.: Abaixo o conteúdo do arquivo https.wl

#gmail
64.233.0.0/16

#hotmail
login.live.com

#mercadolivre
www.mercadolibre.com

#BRASIL
#192.193.0.0/16
189.21.0.0/15
189.22.0.0/16
200.0.0.0/8
201.0.0.0/8

#BB
www2.bancobrasil.com.br

#cisco
198.133.219.25

#credicard
192.193.205.227

#cisco-netacad
128.107.229.50

0 0

[2] Comentário enviado por rlrs em 04/04/2010 - 02:31h

otima dica! ainda funcionando???

0 0

[3] Comentário enviado por rlrs em 04/04/2010 - 03:05h

testei aki ... e por enquanto o ULTRASURF esta mortinho ... vou fazer outros testes e retorno!!!

0 0

[4] Comentário enviado por hedertone em 04/04/2010 - 07:31h

Adicionei varias exceções e coloquei algumas maquinas em uma ACL livre desse bloqueio.

0 0

[5] Comentário enviado por emcormack em 29/06/2010 - 12:49h

Consegui utilizando a seguinte regra no Firewall da Empresa:

# Detonando com o Ultra surf
iptables -A -t nat PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128

O que essa regra faz:
Redireciona tudo que vier da porta 443 para a porta do Squid 3128 assim o Ultrasurf não consegue conectar pois utiliza malandramente a porta 443 e não a porta 9666.

OBS: TEM QUE SER ANTES DE TODAS AS REGRAS DE LIBERAÇAO DE PORTAS.

Abraços e se precisarem de algo: erick@cyclonet.com.br

LINUX É O PODER!!!

0 0