Bloquear Ultrasurf [RESOLVIDO]

rockmusic26
(usa Outra)

Enviado em 24/05/2013 - 14:26h

Galera tentei aplicar esta solução para o bloqueio do ultrasurf mas como nunca trabalhei no fail2ban e o mesmo possui uma versão mais recente com vários arquivos e configurações diferentes estou tendo dificuldades para aplicar este dica:
http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2...

Alguém me da um apoio?
Obrigado.

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 14:47h

Qual é a dificuldade que você está tendo?

http://www.dotsharp.com.br/linux/como-fazer-para-bloquear-ultrasurf-solucao-definitiva-iptables-fail...

rockmusic26
(usa Outra)

Enviado em 24/05/2013 - 16:52h

Tenho que criar esses 3 arquivos:
jail.local
ultrasurf.local
iptables-ultrasurf.local
ou editar esses arquivos essa parte está me confundindo pois ao final do processo meu fail2ban não lista os logs?

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 17:08h

"Aqui vamos criar um arquivo chamado jail.local
vi /etc/fail2ban/jail.local"

"Vamos criar o arquivo com a expressão regular que irá filtar o log do iptables.
vi /etc/fail2ban/filter.d/ultrasurf.local"

"Edite o arquivo /etc/fail2ban/jail.local
Adicione a action sendmail-ultrasurf conforme exemplo acima."

"vi /etc/fail2ban/action.d/iptables-ultrasurf.local"


"Agora vamos criar um novo arquivo chamado /etc/fail2ban/action.d/sendmail-ultrasurf.local"

Você deve criar esses arquivos, colocar o conteúdo dentro deles e depois editar. É só seguir a sequência do artigo.

Veja o link que te enviei antes. É o artigo original. No final tem os links para download das configurações.

Não tem erro.

Em qual distribuição você está fazendo essa configuração?

Você sabe como criar um arquivo no Linux?

saitam
(usa Slackware)

Enviado em 24/05/2013 - 17:34h

Para bloquear o Ultrasurf deve criar uma política inicial em DROP para INPUT,OUTPUT,FORWARD e como o Ultrasurf costuma usar portas 80 e 443 na chain FORWARD, então essas portas NÃO devem estar liberadas na chain FORWARD e sim no SQUID(proxy autenticado), forçando assim todo tráfego passar pelo PROXY autenticado.

Feito isso, se alguém retirar o IP:PORTA do navegador ficará sem internet, obrigando assim TODOS a usar o PROXY AUTENTICADO separado por grupos de acesso com seus devidos usuários de cada tipo de acesso liberal ou restrito.


Consulte ...
Firewall: http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

Squid: http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 17:40h

E o Squid deve ter suporte à SSL.

rockmusic26
(usa Outra)

Enviado em 27/05/2013 - 09:17h

Por motivos alheios à minha vontade é que não poderei utilizar o proxy autenticado, e sim o proxy no modo transparente.

Mas haveria uma possibilidade, se eu configurasse o proxy como autenticado e em alguns IPs deixasse por fora do proxy? Ou seja, eu preciso que alguns IPs não precisem adicionar a porta nos seus navegadores para que naveguem, enquanto os demais micros da rede navegariam com o proxy autenticado, haveria forma de fazer isso?

Outro detalhe, em testes configurei o proxy como autenticado, mas é estranho por que bloqueou o MSN mesmo eu liberando no internet explorer a navegação via porta 80, então eu não entendo, o squid também bloqueia portas? Também tive problemas com outras configurações de portas que após configurar o proxy como autenticado também foram bloqueadas o que não consigo entender, o proxy autenticado no squid não vai trabalhar somente com a porta 80?

Buckminster
(usa Debian)

Enviado em 27/05/2013 - 13:06h

Você está usando o iptables?

Se estiver, faça as máquinas passar por fora do proxy pelo iptables.

rockmusic26
(usa Outra)

Enviado em 27/05/2013 - 13:26h

Pois é, eu posso fazer passar por fora do proxy mas mesmo assim tenho que informar o proxy no navegador?
Nesse ponto que eu fico em dúvida, irei efetuar alguns testes...

rockmusic26
(usa Outra)

Enviado em 28/05/2013 - 14:28h

Vou iniciar minhas regras do zero e deixar o squid autenticado para ver o que ocorre.

Buckminster
(usa Debian)

Enviado em 28/05/2013 - 14:45h

Não. Não precisa informar o proxy no navegador.
Somente se informa o IP e a porta do proxy no navegador no caso de proxy autenticado e se não estiver usando WPAD.

Com proxy transparente não precisa informar o proxy no navegador.
E se o proxy for autenticado e você fizer a máquina passar por fora do proxy com o iptables também não precisa informar o proxy no navegador, pois a máquina, logicamente, não estará passando pelo proxy.

abkali
(usa Debian)

Enviado em 18/02/2015 - 17:39h

Olá, caros amigos.

Realmente o bloqueio do UltraSurf funcionou só bloqueando as portas 80 e 443 no iptables, fazendo com que toda conexão saia obrigatoriamente pelo proxy existente, com a porta 3128.

Muito boa a dica do saitam