Comentários do Blog

  1. Avatar de MarceloGOIAS
    Pois é Magal,

    e pensar que a eletrônica digital começou armazenando alguns bits e processando alguns hertz. Hoje estamos nos terabytes e nos terahertz. E a evolução continua....
  2. Avatar de danistation
    Vou citar como resolvi esse problema e mais um segundo numa tacada só:

    1 - Ultrasurf: Esse programa altera as configurações de proxy do bowser, fazendo com que ele utilize um proxy externo que não seja o nosso. Dificil de resolver por iptables, difícil de resolver por Squid. Solução fácil: SCRIPT DE LOGON. Meu proxy é transparente, mas quando defini as configurações do browser com os dados do meu servidor proxy, funcionou 100%. Dessa forma, por script de logon (AD), defino configurações no registro do Window$, setando o browser para usar HTTP e HTTPS sempre pelo meu proxy squid E negando permissão ao usuário fazer alterações no registro do Window$. Assim, quando o tonto executa o Utltrasurf, toma um PÃ na cara, porque não pode alterar as configurações do bowser para outros proxies, já que isso é feito no registro do Windows, que não dá a ele permissão para alteração. Bloqueio também os menus dessas configurações no browser. Quando o usuário tontão tenta alterar pelo menu ferramentas/opções/etc., não pode, porque está tudo cinza!!!

    2 - Essa foi mais bunita ainda: Quando defini HTTPS manualmente no browser, TODAS as conexões que levam HTTPS na URL passaram a ser filtradas com êxito pelo squid! Detalhe: Meu squid está operando na mesma máquina que tem o iptables distribuindo internet para todo mundo.

    Resumindo: Ultrasurf travado, executa o programa mas não funciona; Páginas HTTP e HTTPS filtradas e bloqueadas apenas pelo SQUID! Ficou nota 10! Acho que essa informação será bem vinda pelos colegas!!! Iptables apenas fazendo sua função principal, compartilhando internet, redirecionando portas e negando algum tipo de comunicação.

    Grande abraço a todos!
  3. Avatar de diegorm
    se tem alguem q entende de antenas omni direcional e se o painel setorial usb trabalha bem com a omni
  4. Avatar de underwanderson
    Citação Postado originalmente por lcmm84
    Bom, o ultrasurf é relativamente fácil de se bloquear, espero que os usuários da sua rede não descubram o JAP (JonDo), ele é bem pior que o ultrasurf pois o mesmo faz um tunel ssl na porta 80 e mais algumas se a 443 estiver bloqueada.
    Sobre suas regras, analise através do "torch", ou até mesmo pelo "netstat -a" no cliente windows, e voce irá perceber que a porta 9666 é utilizada somente no cliente. Não há necessidade de todas essas regras somente as duas primeiras (1-detecta varias tentativa de conexão 443 e adiciona o ip à uma lista, 2 - bloqueia a lista ) deverão fazer o serviço, faça os testes.
    O meu bloqueio é simples:
    -Firewall totalmente fechado, conexões FORWARD e INPUT somente para servidores, a rede dos clientes so sai para internet se for através do proxy(squid)
    -Squid negando acesso à 443, permitinto somente uma witelist
    - Na pagina "Access denied" do squid, coloquei um linnk para uma pagina com um formulário para desbloqueio de sites, no qual abre um chamado(glpi) para mim desbloquear o site ssl que o usuário esta tentando acessar.

    Obs: se vc usa Squid com autenticação, é so bloquear a porta 443 nos FORWARD da vida, pois om ultrasurf nao suporta autenticação no proxy.

    Cuidado com o JAP/Jondo, ele é pior, garanto


    eu vi, a porta 9666 é aliada ao endereço de loopback 127.0.0.1 mas coloquei só para garantir que ele não passe com ela se a 443 estiver fechada, e também soube destes outros ai, por isso a solução foi bloqueamos as maquinas para que não aceite instalação de software algum, pois se precisarem de instalar algo nas máquinas tem que chamar os responsável para isso.
  5. Avatar de underwanderson
    Citação Postado originalmente por mascaraapj
    nao entendi direito essa segunda regra
    add chain=forward action=add-src-to-address-list dst-port=443 protocol=tcp connection-limit=15,32 limit=15,8 src-address-list=ULTRASURF address-list=ULTRASURF address-list-timeout=1m comment="BLOQUEANDO ACESSO AO ULTRASURF2" disabled=no

    aqui vc disse que todo endereco da lista ULTRASURF que ultrapassar um certo limite de conexao na porta 443 seja adicionado na lista ULTRASURF... para que adicionar um endereco que ja pertece a lista novamente?
    nao seria melhor adicionar apenas os enderecos que nao existem na lista e que ultrapassaram o limite?
    quem adiciona é o mikrotik o endereço ip do usuario que esta bombardeando a saida na porta 443, e só consegue bombardear esta porta se tiver contaminado por virus ou usando ultrasurf, é claro que ninguém vai perder tempo escrevendo virus pra esta porta, rsrsrs
  6. Avatar de Duca
    Citação Postado originalmente por validatec
    Este cientista fantástico acreditava na possibilidade de criar geradores e motores de corrente alternada, levou esta ideia para Tomáz Edson que lhe disse que era impossível. Foi empregado do Edson que lhe deu o cano.
    A Westinghouse acreditou em Tesla financiando a construção de geradores de corrente alternada que eram mais eficientes que os de corrente contínua da General Eletric construidos por Edson.
    Tomaz Edson perseguiu e sacaneou Tesla de todas as maneiras tentando provar que a corrente alternada era perigosa para a humanidade mas a corrente alternada acabou vingando.
    Tesla quebrou tentando provar que é possível transportar corrente elétrica de alta potencia sem meios físicos. Desenvolveu assim pesquisas de RF.
    Ele realizou grandes trabalhos de RF mas foi prejudicado chegou até a dispensar o prêmio nobel.
    A Wirelless deve muito a ele mas principalmente sem ele não teríamos toda esta rede de energia elétrica em corrente alternada que temos.
    A grande maioria das pessoas não sabem o que é a unidade TESLA DE CAMPO MAGNÉTICO e nunca ouviram falar neste homem de mente fora do normal.
    Parabéns pela lembrança, este homem fez muito mais que o Pelé e não é chamado de rei!
  7. Avatar de lcmm84
    Bom, o ultrasurf é relativamente fácil de se bloquear, espero que os usuários da sua rede não descubram o JAP (JonDo), ele é bem pior que o ultrasurf pois o mesmo faz um tunel ssl na porta 80 e mais algumas se a 443 estiver bloqueada.
    Sobre suas regras, analise através do "torch", ou até mesmo pelo "netstat -a" no cliente windows, e voce irá perceber que a porta 9666 é utilizada somente no cliente. Não há necessidade de todas essas regras somente as duas primeiras (1-detecta varias tentativa de conexão 443 e adiciona o ip à uma lista, 2 - bloqueia a lista ) deverão fazer o serviço, faça os testes.
    O meu bloqueio é simples:
    -Firewall totalmente fechado, conexões FORWARD e INPUT somente para servidores, a rede dos clientes so sai para internet se for através do proxy(squid)
    -Squid negando acesso à 443, permitinto somente uma witelist
    - Na pagina "Access denied" do squid, coloquei um linnk para uma pagina com um formulário para desbloqueio de sites, no qual abre um chamado(glpi) para mim desbloquear o site ssl que o usuário esta tentando acessar.

    Obs: se vc usa Squid com autenticação, é so bloquear a porta 443 nos FORWARD da vida, pois om ultrasurf nao suporta autenticação no proxy.

    Cuidado com o JAP/Jondo, ele é pior, garanto
  8. Avatar de AndrioPJ
    nao entendi direito essa segunda regra
    add chain=forward action=add-src-to-address-list dst-port=443 protocol=tcp connection-limit=15,32 limit=15,8 src-address-list=ULTRASURF address-list=ULTRASURF address-list-timeout=1m comment="BLOQUEANDO ACESSO AO ULTRASURF2" disabled=no

    aqui vc disse que todo endereco da lista ULTRASURF que ultrapassar um certo limite de conexao na porta 443 seja adicionado na lista ULTRASURF... para que adicionar um endereco que ja pertece a lista novamente?
    nao seria melhor adicionar apenas os enderecos que nao existem na lista e que ultrapassaram o limite?
  9. Avatar de underwanderson
    DESCULPE, REGRAS CORRETAS SÃO ESSAS E NÃO AS DE CIMA

    / ip firewall filter add chain=forward action=drop dst-port=443 protocol=tcp src-address-list=ULTRASURF \ comment="BLOQUEANDO ACESSO AO ULTRASURF" disabled=no add chain=forward action=add-src-to-address-list dst-port=443 protocol=tcp connection-limit=10,32 \ limit=15,8 src-address-list=!ULTRASURF address-list=ULTRASURF address-list-timeout=1m \ comment="BLOQUEANDO ACESSO AO ULTRASURF2" disabled=no add chain=forward action=drop dst-port=9666 protocol=udp src-address-list=ULTRASURF \ comment="BLOQUEANDO ACESSO AO ULTRASURF porta 9666 udp" disabled=no add chain=forward action=add-src-to-address-list dst-port=9666 protocol=tcp connection-limit=10,32 \ src-address-list=!ULTRASURF address-list=ULTRASURF address-list-timeout=10m comment="BLOQUEANDO \ ACESSO AO ULTRASURF2 porta 9666" disabled=no add chain=forward action=drop dst-port=9666 protocol=tcp src-address-list=ULTRASURF \ comment="BLOQUEANDO ACESSO AO ULTRASURF porta 9666" disabled=no / ip web-proxy access add src-address=127.0.0.1/32 dst-address=127.0.0.1/32 dst-port=9666 action=deny comment="block \ ultrasurf 9666" disabled=no add dst-port=9666 action=deny comment="bloqueando porta para ultrasurf" disabled=no
  10. Avatar de stevens144
    Tesla um grande Gênio... porem por muitos esquecido... as vezes me pergunto se esses caras realmente existiram... um grande visionário!