Bloqueio de UltraSurf via Mikrotik (funcionando)

Prezados,

Após muita leitura sobre o assunto e inúmeras tentativas, cheguei a uma configuração de firewall capaz de bloquear (até o momento) a utilização de Ultrasurf na rede com eficiência. Segue:

1. Criei uma Address List (UltraSurfServers) com 2 das faixas de IP`s mais utilizadas pelo Ultrasurf.

/ip firewall address-list

add address=65.49.0.0/17 disabled=no list=UltraSurfServers
add address=204.107.140.0/24 disabled=no list=UltraSurfServers

2. Detectei IP`s da rede interna que tentaram realizar algum tipo de conexão com essas faixas, e adicionei esses IP`s numa nova Address List (UltraSurfUsers) por 5min.

/ip firewall mangle
add action=add-src-to-address-list address-list=UltraSurfUsers \
address-list-timeout=5m chain=prerouting comment=UltraSurfUsers disabled=\
no dst-address-list=UltraSurfServers in-interface=Interface-LAN

3. Criei mais uma Address List (UltraSurfProxies) e passei a adicionar nela, também por 5min, todos os IP`s destino que as máquinas listadas em UltraSurfUsers tentaram acessar.

/ip firewall mangle
add action=add-dst-to-address-list address-list=UltraSurfProxies \
address-list-timeout=5m chain=prerouting comment=UltraSurfProxies \
disabled=no in-interface=Interface-LAN src-address-list=UltraSurfUsers

4. Marquei todas as conexões realizadas entre UltraSurfUsers e UltraSurfProxies com porta diferente de 80.

/ip firewall mangle
add action=mark-connection chain=prerouting comment=UltraSurf disabled=no \
dst-address-list=UltraSurfProxies new-connection-mark=UltraSurf \
passthrough=yes port=!80 protocol=tcp src-address-list=UltraSurfUsers

5. Passei então a marcar todos os pacotes trafegados nessas conexões.

/ip firewall mangle
add action=mark-packet chain=prerouting connection-mark=UltraSurf disabled=no \
new-packet-mark=Ultrasurf passthrough=yes

6. Realizei o bloqueio desses pacotes na rede.

/ip firewall filter
add action=drop chain=forward comment=Bloq_Ultrasurf disabled=no packet-mark=Ultrasurf

--------------//--------------

O aplicativo (Ultrasurf) até consegue se conectar com seus servers, mas assim que o usuário começa a navegar, as regras entram em ação e ele perde a navegação. Fechando o aplicativo (UltraSurf), tudo volta ao normal para o usuário após 5min.

Espero ter ajudado.

Seu trabalho foi interessante e pode nos ajudar muito, mas eu fiquei com um pouco de dúvida no seguinte trecho:

"O aplicativo (Ultrasurf) até consegue se conectar com seus servers, mas assim que o usuário começa a navegar, as regras entram em ação e ele perde a navegação. Fechando o aplicativo (UltraSurf), tudo volta ao normal para o usuário após 5min"

Com isso, vc quiz dizer que esse controle somente funciona por 5 min e depois desse tempo libera o acesso?

Caso seja isso mesmo, qual a finalidade de controlar por apenas 5 min?

Outra dúvida: Essas regras consumiram muito processamento?

Citação:

---

Postado originalmente por SantiagoMG

Seu trabalho foi interessante e pode nos ajudar muito, mas eu fiquei com um pouco de dúvida no seguinte trecho:

"O aplicativo (Ultrasurf) até consegue se conectar com seus servers, mas assim que o usuário começa a navegar, as regras entram em ação e ele perde a navegação. Fechando o aplicativo (UltraSurf), tudo volta ao normal para o usuário após 5min"

Com isso, vc quiz dizer que esse controle somente funciona por 5 min e depois desse tempo libera o acesso?

Caso seja isso mesmo, qual a finalidade de controlar por apenas 5 min?

Outra dúvida: Essas regras consumiram muito processamento?

---

No conjunto de regras que criei, eu rastreio tudo que a máquina com UltraSurf tenta acessar e, em seguida, bloqueio o acesso dela aos endereços rastreados. Ou seja, eu não bloqueio o UltraSurf, mas sim a máquina que o está utilizando.

Enquanto a máquina estiver com o UltraSurf aberto, tudo que ela tentar acessar passa a ser bloqueado (apenas para ela) por 5min. Então, após 5min os endereços que a máquina tentou acessar deixam de ser bloqueados para ela, mas se ela ainda estiver com o UltraSurf aberto após esse tempo, eles retornam a lista UltraSurfProxies imediatamente por mais 5min e assim sucessivamente até que o UltraSurf seja fechado.

Resumindo, enquanto o UltraSurf estiver aberto a máquina não acessa nada, mas se o usuário fechar o programa (UltraSurf) sua máquina volta ao normal em 5min.

Deu pra entender?

Quanto ao processamento, não consumiu praticamente nada. Porém, meus MK`s estão instalados apenas em empresas (ambiente corporativo), não possuo provedor com centenas de usuários.

Bacana,obrigado por compartilhar :)

Agora deu pra entender sim. Muito inteligente essa forma de controle.

Parabéns e obrigado por compartilhar.

Esses são apenas alguns dos Ips para o acesso do Ultra surf é praticamente impossível bloqueá-los, tendo em vista que são vários Ips além de serem várias portas que o Ultrasurf pode mudar, esse é apenas um dos mais famosos anonimyzers que existem.

Amigo na quarta regra nao funciou a marcação de pacote. Esta certa essa regra?
De qualquer forma renomeei a 2º regra em Address List = UltraSurfServers2 e criei uma outra regra no firewell Rule (chain=fowrd Src Add List=UltraSurfServers2 action= Drop).
Desde ja agradeço.

Reputação pra vc.

Citação:

---

Postado originalmente por hodesanionetx

Esses são apenas alguns dos Ips para o acesso do Ultra surf é praticamente impossível bloqueá-los, tendo em vista que são vários Ips além de serem várias portas que o Ultrasurf pode mudar, esse é apenas um dos mais famosos anonimyzers que existem.

---

Em 100% dos meus testes, ao abrir o UltraSurf (u1210.exe) as faixas listadas foram consultadas. Bloquear tais fixas é inútil pois muitas outras são utilizadas, concordo com você. Bloquear portas também é inútil.

Por isso mesmo, em minhas regras, não fiz bloqueio das faixas nem de portas, eu deixei tudo liberado. Apenas passei a rastrear os IP`s internos que buscaram essas faixa em algum momento (abriram UltraSurf), passei a restrear os pedidos de acessos desses IP`s e a bloquear esses acessos (apenas para eles). Assim, mesmo sem conseguir (nem tentar) bloquear o UltraSurf, eu consigo identificar quem o abriu e bloquear a máquina.

As máquinas bloqueadas ficam praticamente inutilizáveis, mas retornam ao normal 5 min após seus donos fecharem o UltraSurf.

Citação:

---

Postado originalmente por maxibelo

Amigo na quarta regra nao funciou a marcação de pacote. Esta certa essa regra?
De qualquer forma renomeei a 2º regra em Address List = UltraSurfServers2 e criei uma outra regra no firewell Rule (chain=fowrd Src Add List=UltraSurfServers2 action= Drop).
Desde ja agradeço.

Reputação pra vc.

---

As regras que listei são interdependentes. Você copiou e colocou cada uma, seguindo a ordem que coloquei, ou apenas procurou entendê-las e aplicar da sua maneira?

a) se copiou e colocou era pra funcionar (extraia as suas regras e cole aqui).

b) se tentou adaptá-las, revise-as.

Interessante, acredito que vai ser útil pra mim, agora antes tenho um problema. Preciso fazer o bloqueio de Facebook, pornografia... na prefeitura, até que fiz mas a navegação ficou uma b**** muito lenta.... alguém ai pode me passar um bloqueio de site eficiente mas sem prejudicar a navegação?

Citação:

---

Postado originalmente por redslack

Interessante, acredito que vai ser útil pra mim, agora antes tenho um problema. Preciso fazer o bloqueio de Facebook, pornografia... na prefeitura, até que fiz mas a navegação ficou uma b**** muito lenta.... alguém ai pode me passar um bloqueio de site eficiente mas sem prejudicar a navegação?

---

Amigo vc usa squid na sua rede para fazer os bloqueio? Caso não, pesquise.

Citação:

---

Postado originalmente por redslack

Interessante, acredito que vai ser útil pra mim, agora antes tenho um problema. Preciso fazer o bloqueio de Facebook, pornografia... na prefeitura, até que fiz mas a navegação ficou uma b**** muito lenta.... alguém ai pode me passar um bloqueio de site eficiente mas sem prejudicar a navegação?

---

Faz por layer7 no próprio MK fica muito bom.

Para ambiente corporativo ótima opção, obrigado por compartilhar, mais acredito que tenha varias outras faixas de ips do Ultra Surf, enfim, é rastreá-las e ir implementação essa sua regra, muito bacana.

Citação:

---

Postado originalmente por RickBrito

Para ambiente corporativo ótima opção, obrigado por compartilhar, mais acredito que tenha varias outras faixas de ips do Ultra Surf, enfim, é rastreá-las e ir implementação essa sua regra, muito bacana.

---

Os usuarios em totalidade, que usa o ultrasurf, não sabe de todas as suas funcionalidades, então vai funcionar perfeitamente.

Fernando era justamente por layer7 e ficava muito lento a navegação.... é uma RB750G...

Citação:

---

Postado originalmente por Fernandols

Faz por layer7 no próprio MK fica muito bom.

---

Citação:

---

Postado originalmente por redslack

Fernando era justamente por layer7 e ficava muito lento a navegação.... é uma RB750G...

---

Compra uma RB melhor, tipo uma rb450g ou acima, ou instala em um PC. Ja trabalhaei assim e nao tive problema algum. sucesso ai..

Citação:

---

Postado originalmente por redslack

Fernando era justamente por layer7 e ficava muito lento a navegação.... é uma RB750G...

---

Cara estranho,pq fiz aqui e olha que era uma 750 comum e nao senti a navegação lenta qual a versão que vc tava utilizando? tenta atualizar ela pra 5.24 e atualiza o firmware tbm.

Sou novo por aqui. Participo desse fórum a menos de 1 semana, mas penso que deveríamos manter o tópico apenas para discutirmos sua finalidade (bloqueio do UltraSurf), isso facilita bastante para quem tá buscando uma solução para esse problema ou deseja dar contribuições para ele.

Ok. Utilizei as regras. Funcionou, realmente não abre nenhum site enquanto o UltraSurf está aberto na máquina. E quando o programa é fechado, volta normalmente a funcionar (menos, lógico, os sites que já estão bloqueados).
Só que está acontecendo o seguinte problema, mesmo com o UltraSurf fechado a maquina está sem acesso ao site da Google.
E em uma delas emite nota fiscal, o site da SEFAZ também foi bloqueado nessas regras.
Alguma solução?
Lembrando que não expert em Mikrotik.

33
Olá hermespffilho.

Ao longo do tempo simplifiquei essa regra. Penso que ficou melhor e mais simples. Segue como a faço agora:

1. Crio uma Address List (UltraSurfServers) com 2 das faixas de IP`s mais utilizadas pelo Ultrasurf (mesmo que existam outras, o programa sempre procura essas faixas, em 100% dos casos).

/ip firewall address-list

add address=65.49.0.0/17 disabled=no list=UltraSurfServers
add address=204.107.140.0/24 disabled=no list=UltraSurfServers

2. Detecto IP`s da rede interna que tentaram realizar algum tipo de conexão com essas faixas, e adiciono esses IP`s numa nova Address List (UltraSurfUsers) por 5min.

/ip firewall mangle
add action=add-src-to-address-list address-list=UltraSurfUsers \
address-list-timeout=5m chain=prerouting comment=UltraSurfUsers disabled=\
no dst-address-list=UltraSurfServers in-interface=Interface-LAN

3. Bloqueio completamente os IP da Address list UltraSurfUsers (até que eles saiam dela, ou seja, 5min após fecharem o UltraSurf).

/ip firewall filter
add action=drop chain=forward comment="UltraSurf Users" in-interface=\
Interface-LAN src-address-list=UltraSurfUsers

Aqui funcionou perfeitamente ;)

Citação:

---

Postado originalmente por flaviolrf

Prezados,

Após muita leitura sobre o assunto e inúmeras tentativas, cheguei a uma configuração de firewall capaz de bloquear (até o momento) a utilização de Ultrasurf na rede com eficiência. Segue:

1. Criei uma Address List (UltraSurfServers) com 2 das faixas de IP`s mais utilizadas pelo Ultrasurf.

/ip firewall address-list

add address=65.49.0.0/17 disabled=no list=UltraSurfServers
add address=204.107.140.0/24 disabled=no list=UltraSurfServers

2. Detectei IP`s da rede interna que tentaram realizar algum tipo de conexão com essas faixas, e adicionei esses IP`s numa nova Address List (UltraSurfUsers) por 5min.

/ip firewall mangle
add action=add-src-to-address-list address-list=UltraSurfUsers \
address-list-timeout=5m chain=prerouting comment=UltraSurfUsers disabled=\
no dst-address-list=UltraSurfServers in-interface=Interface-LAN

3. Criei mais uma Address List (UltraSurfProxies) e passei a adicionar nela, também por 5min, todos os IP`s destino que as máquinas listadas em UltraSurfUsers tentaram acessar.

/ip firewall mangle
add action=add-dst-to-address-list address-list=UltraSurfProxies \
address-list-timeout=5m chain=prerouting comment=UltraSurfProxies \
disabled=no in-interface=Interface-LAN src-address-list=UltraSurfUsers

4. Marquei todas as conexões realizadas entre UltraSurfUsers e UltraSurfProxies com porta diferente de 80.

/ip firewall mangle
add action=mark-connection chain=prerouting comment=UltraSurf disabled=no \
dst-address-list=UltraSurfProxies new-connection-mark=UltraSurf \
passthrough=yes port=!80 protocol=tcp src-address-list=UltraSurfUsers

5. Passei então a marcar todos os pacotes trafegados nessas conexões.

/ip firewall mangle
add action=mark-packet chain=prerouting connection-mark=UltraSurf disabled=no \
new-packet-mark=Ultrasurf passthrough=yes

6. Realizei o bloqueio desses pacotes na rede.

/ip firewall filter
add action=drop chain=forward comment=Bloq_Ultrasurf disabled=no packet-mark=Ultrasurf

--------------//--------------

O aplicativo (Ultrasurf) até consegue se conectar com seus servers, mas assim que o usuário começa a navegar, as regras entram em ação e ele perde a navegação. Fechando o aplicativo (UltraSurf), tudo volta ao normal para o usuário após 5min.

Espero ter ajudado.

---

http://wiki.mikrotik.com/wiki/How_to...rogram_traffic

Esse método não funciona legal com a ultima versão (do ultrasurf, não do mikrotik), só com as antigas.

Citação:

---

Postado originalmente por int21

http://wiki.mikrotik.com/wiki/How_to...rogram_traffic

Esse método não funciona legal com a ultima versão, só com as antigas.

---

Aqui roda na v5.26 em uma RB750

Não funfa com a versão u1405

Eu simplifiquei a regra. E agora funciona com qualquer versão, seja do MK, seja do Ultrasurf.

Primeiramente eu criei uma address-list contendo 2 das principais faixas de IP utilizadas pelo Ultrasurf. Independentemente dele poder utilizar infinitos IP`s, ele sempre consulta essas faixas. Então quando essas faixa são consultadas, eu já sei que ele foi ativado na rede.

/ip firewall address-list
add address=204.107.140.0/24 comment=UltraSurf list=UltraSurfServers
add address=65.49.0.0/17 comment=UltraSurf list=UltraSurfServers

Em seguida eu identifico o computador da rede que abriu o ultrasurf e coloco ele numa address list dinâmica com por 5min.


/ip firewall mangle
add action=add-src-to-address-list address-list=UltraSurfUsers \
address-list-timeout=5m chain=prerouting comment=\
"Ultrasurf Users na Rede" dst-address-list=UltraSurfServers \
in-interface=Interface-RedeInterna src-address-list="!DNS Servers"


Agora bloqueio todo mundo que foi inserido na address-list dinâmica


/ip firewall filter
add action=drop chain=forward comment="Ultrasurf na Rede" \
in-interface=Interface-RedeInterna src-address-list=UltraSurfUsers

Resumindo, quem abrir o ultrasurf fica sem conexão. Após fechar o Ultrasurf, a conexão é reestabelecida automaticamente após 5min. Se o usuário não fechar o Ultrasurf, ele é re-inserido na address-lit dinâmica por mais 5min, e assim por diante até que ele feche o Ultrasurf.

Para os adeptos do Ctrl+c Ctrl +v , Tirem "in-interface=Interface-RedeInterna" ou substitua pelo nome da sua interface ^^'

Flavio Obrigado por compartilhar , nem sei se tenho clientes que utilizam deste aplicativo , vou monitorar a partir de agora

Cara funciona em partes @flaviolrf nos teste que eu fiz só amenizou melhor que nada, fiz uns testes mais avançados e eu consegui bular.

Pode citar os testes que fez @wld.net1? Nas redes que administro funciona sem falhas.

Uma coisa que não comentei foi "src-address-list="!DNS Servers". Eu tenho uma address-lis chamada DNS Servers contendo os IP`s dos servidores DNS (internos) da rede. Isso evita que o servidor DNS da rede seja bloqueado, já que ele fará a consulta.

testa essa ai

/ip firewall filter
add action=drop chain=forward comment="Block UltraSurf" disabled=no dst-port=443 protocol=tcp src-address-list=UltraSurfUsers

/ip firewall mangle
add action=add-src-to-address-list address-list=UltraSurfUsers address-list-timeout=1d chain=prerouting comment="UltraSurfUsers" disabled=no dst-address-list=UltraSurfServers dst-port=443 protocol=tcp

/ip firewall address-list
add address=65.49.0.0/17 comment="" disabled=no list=UltraSurfServers
add address=204.107.140.0/24 comment="" disabled=no list=UltraSurfServers

/ip firewall filter
add action=accept chain=forward comment=DNS disabled=no dst-address=198.153.194.50 dst-port=53 protocol=tcp
add action=accept chain=forward comment=DNS disabled=no dst-address=198.153.194.50 dst-port=53 protocol=udp
add action=accept chain=forward comment=DNS disabled=no dst-address=198.153.192.50 dst-port=53 protocol=tcp
add action=accept chain=forward comment=DNS disabled=no dst-address=198.153.192.50 dst-port=53 protocol=udp
add action=drop chain=forward comment=DNS disabled=no dst-port=53 protocol=tcp
add action=drop chain=forward comment=DNS disabled=no dst-port=53 protocol=udp