Bloqueio de UltraSurf via Mikrotik (funcionando)

[flaviolrf]

Prezados,

Após muita leitura sobre o assunto e inúmeras tentativas, cheguei a uma configuração de firewall capaz de bloquear (até o momento) a utilização de Ultrasurf na rede com eficiência. Segue:

1. Criei uma Address List (UltraSurfServers) com 2 das faixas de IP`s mais utilizadas pelo Ultrasurf.

/ip firewall address-list

add address=65.49.0.0/17 disabled=no list=UltraSurfServers
add address=204.107.140.0/24 disabled=no list=UltraSurfServers

2. Detectei IP`s da rede interna que tentaram realizar algum tipo de conexão com essas faixas, e adicionei esses IP`s numa nova Address List (UltraSurfUsers) por 5min.

/ip firewall mangle
add action=add-src-to-address-list address-list=UltraSurfUsers \
address-list-timeout=5m chain=prerouting comment=UltraSurfUsers disabled=\
no dst-address-list=UltraSurfServers in-interface=Interface-LAN

3. Criei mais uma Address List (UltraSurfProxies) e passei a adicionar nela, também por 5min, todos os IP`s destino que as máquinas listadas em UltraSurfUsers tentaram acessar.

/ip firewall mangle
add action=add-dst-to-address-list address-list=UltraSurfProxies \
address-list-timeout=5m chain=prerouting comment=UltraSurfProxies \
disabled=no in-interface=Interface-LAN src-address-list=UltraSurfUsers

4. Marquei todas as conexões realizadas entre UltraSurfUsers e UltraSurfProxies com porta diferente de 80.

/ip firewall mangle
add action=mark-connection chain=prerouting comment=UltraSurf disabled=no \
dst-address-list=UltraSurfProxies new-connection-mark=UltraSurf \
passthrough=yes port=!80 protocol=tcp src-address-list=UltraSurfUsers

5. Passei então a marcar todos os pacotes trafegados nessas conexões.

/ip firewall mangle
add action=mark-packet chain=prerouting connection-mark=UltraSurf disabled=no \
new-packet-mark=Ultrasurf passthrough=yes

6. Realizei o bloqueio desses pacotes na rede.

/ip firewall filter
add action=drop chain=forward comment=Bloq_Ultrasurf disabled=no packet-mark=Ultrasurf

--------------//--------------

O aplicativo (Ultrasurf) até consegue se conectar com seus servers, mas assim que o usuário começa a navegar, as regras entram em ação e ele perde a navegação. Fechando o aplicativo (UltraSurf), tudo volta ao normal para o usuário após 5min.

Espero ter ajudado.

[SantiagoMG]

Seu trabalho foi interessante e pode nos ajudar muito, mas eu fiquei com um pouco de dúvida no seguinte trecho:

"O aplicativo (Ultrasurf) até consegue se conectar com seus servers, mas assim que o usuário começa a navegar, as regras entram em ação e ele perde a navegação. Fechando o aplicativo (UltraSurf), tudo volta ao normal para o usuário após 5min"

Com isso, vc quiz dizer que esse controle somente funciona por 5 min e depois desse tempo libera o acesso?

Caso seja isso mesmo, qual a finalidade de controlar por apenas 5 min?

Outra dúvida: Essas regras consumiram muito processamento?

[flaviolrf]

Seu trabalho foi interessante e pode nos ajudar muito, mas eu fiquei com um pouco de dúvida no seguinte trecho:

"O aplicativo (Ultrasurf) até consegue se conectar com seus servers, mas assim que o usuário começa a navegar, as regras entram em ação e ele perde a navegação. Fechando o aplicativo (UltraSurf), tudo volta ao normal para o usuário após 5min"

Com isso, vc quiz dizer que esse controle somente funciona por 5 min e depois desse tempo libera o acesso?

Caso seja isso mesmo, qual a finalidade de controlar por apenas 5 min?

Outra dúvida: Essas regras consumiram muito processamento?

No conjunto de regras que criei, eu rastreio tudo que a máquina com UltraSurf tenta acessar e, em seguida, bloqueio o acesso dela aos endereços rastreados. Ou seja, eu não bloqueio o UltraSurf, mas sim a máquina que o está utilizando.

Enquanto a máquina estiver com o UltraSurf aberto, tudo que ela tentar acessar passa a ser bloqueado (apenas para ela) por 5min. Então, após 5min os endereços que a máquina tentou acessar deixam de ser bloqueados para ela, mas se ela ainda estiver com o UltraSurf aberto após esse tempo, eles retornam a lista UltraSurfProxies imediatamente por mais 5min e assim sucessivamente até que o UltraSurf seja fechado.

Resumindo, enquanto o UltraSurf estiver aberto a máquina não acessa nada, mas se o usuário fechar o programa (UltraSurf) sua máquina volta ao normal em 5min.

Deu pra entender?

Quanto ao processamento, não consumiu praticamente nada. Porém, meus MK`s estão instalados apenas em empresas (ambiente corporativo), não possuo provedor com centenas de usuários.

[jailtonnetlink]

Bacana,obrigado por compartilhar

[SantiagoMG]

Agora deu pra entender sim. Muito inteligente essa forma de controle.

Parabéns e obrigado por compartilhar.

[hodesanionetx]

Esses são apenas alguns dos Ips para o acesso do Ultra surf é praticamente impossível bloqueá-los, tendo em vista que são vários Ips além de serem várias portas que o Ultrasurf pode mudar, esse é apenas um dos mais famosos anonimyzers que existem.

[maxibelo]

Amigo na quarta regra nao funciou a marcação de pacote. Esta certa essa regra?
De qualquer forma renomeei a 2º regra em Address List = UltraSurfServers2 e criei uma outra regra no firewell Rule (chain=fowrd Src Add List=UltraSurfServers2 action= Drop).
Desde ja agradeço.

Reputação pra vc.

[flaviolrf]

Esses são apenas alguns dos Ips para o acesso do Ultra surf é praticamente impossível bloqueá-los, tendo em vista que são vários Ips além de serem várias portas que o Ultrasurf pode mudar, esse é apenas um dos mais famosos anonimyzers que existem.

Em 100% dos meus testes, ao abrir o UltraSurf (u1210.exe) as faixas listadas foram consultadas. Bloquear tais fixas é inútil pois muitas outras são utilizadas, concordo com você. Bloquear portas também é inútil.

Por isso mesmo, em minhas regras, não fiz bloqueio das faixas nem de portas, eu deixei tudo liberado. Apenas passei a rastrear os IP`s internos que buscaram essas faixa em algum momento (abriram UltraSurf), passei a restrear os pedidos de acessos desses IP`s e a bloquear esses acessos (apenas para eles). Assim, mesmo sem conseguir (nem tentar) bloquear o UltraSurf, eu consigo identificar quem o abriu e bloquear a máquina.

As máquinas bloqueadas ficam praticamente inutilizáveis, mas retornam ao normal 5 min após seus donos fecharem o UltraSurf.

[flaviolrf]

Amigo na quarta regra nao funciou a marcação de pacote. Esta certa essa regra?
De qualquer forma renomeei a 2º regra em Address List = UltraSurfServers2 e criei uma outra regra no firewell Rule (chain=fowrd Src Add List=UltraSurfServers2 action= Drop).
Desde ja agradeço.

Reputação pra vc.

As regras que listei são interdependentes. Você copiou e colocou cada uma, seguindo a ordem que coloquei, ou apenas procurou entendê-las e aplicar da sua maneira?

a) se copiou e colocou era pra funcionar (extraia as suas regras e cole aqui).

b) se tentou adaptá-las, revise-as.

[redslack]

Interessante, acredito que vai ser útil pra mim, agora antes tenho um problema. Preciso fazer o bloqueio de Facebook, pornografia... na prefeitura, até que fiz mas a navegação ficou uma b**** muito lenta.... alguém ai pode me passar um bloqueio de site eficiente mas sem prejudicar a navegação?

[maxibelo]

Interessante, acredito que vai ser útil pra mim, agora antes tenho um problema. Preciso fazer o bloqueio de Facebook, pornografia... na prefeitura, até que fiz mas a navegação ficou uma b**** muito lenta.... alguém ai pode me passar um bloqueio de site eficiente mas sem prejudicar a navegação?

Amigo vc usa squid na sua rede para fazer os bloqueio? Caso não, pesquise.

[Fernandols]

Interessante, acredito que vai ser útil pra mim, agora antes tenho um problema. Preciso fazer o bloqueio de Facebook, pornografia... na prefeitura, até que fiz mas a navegação ficou uma b**** muito lenta.... alguém ai pode me passar um bloqueio de site eficiente mas sem prejudicar a navegação?

Faz por layer7 no próprio MK fica muito bom.

[RickBrito]

Para ambiente corporativo ótima opção, obrigado por compartilhar, mais acredito que tenha varias outras faixas de ips do Ultra Surf, enfim, é rastreá-las e ir implementação essa sua regra, muito bacana.

[maxibelo]

Para ambiente corporativo ótima opção, obrigado por compartilhar, mais acredito que tenha varias outras faixas de ips do Ultra Surf, enfim, é rastreá-las e ir implementação essa sua regra, muito bacana.

Os usuarios em totalidade, que usa o ultrasurf, não sabe de todas as suas funcionalidades, então vai funcionar perfeitamente.

[redslack]

Fernando era justamente por layer7 e ficava muito lento a navegação.... é uma RB750G...

Faz por layer7 no próprio MK fica muito bom.

[maxibelo]

Fernando era justamente por layer7 e ficava muito lento a navegação.... é uma RB750G...

Compra uma RB melhor, tipo uma rb450g ou acima, ou instala em um PC. Ja trabalhaei assim e nao tive problema algum. sucesso ai..

[Fernandols]

Fernando era justamente por layer7 e ficava muito lento a navegação.... é uma RB750G...

Cara estranho,pq fiz aqui e olha que era uma 750 comum e nao senti a navegação lenta qual a versão que vc tava utilizando? tenta atualizar ela pra 5.24 e atualiza o firmware tbm.

[flaviolrf]

Sou novo por aqui. Participo desse fórum a menos de 1 semana, mas penso que deveríamos manter o tópico apenas para discutirmos sua finalidade (bloqueio do UltraSurf), isso facilita bastante para quem tá buscando uma solução para esse problema ou deseja dar contribuições para ele.

[hermespffilho]

Ok. Utilizei as regras. Funcionou, realmente não abre nenhum site enquanto o UltraSurf está aberto na máquina. E quando o programa é fechado, volta normalmente a funcionar (menos, lógico, os sites que já estão bloqueados).
Só que está acontecendo o seguinte problema, mesmo com o UltraSurf fechado a maquina está sem acesso ao site da Google.
E em uma delas emite nota fiscal, o site da SEFAZ também foi bloqueado nessas regras.
Alguma solução?
Lembrando que não expert em Mikrotik.

[flaviolrf]

33
Olá hermespffilho.

Ao longo do tempo simplifiquei essa regra. Penso que ficou melhor e mais simples. Segue como a faço agora:

1. Crio uma Address List (UltraSurfServers) com 2 das faixas de IP`s mais utilizadas pelo Ultrasurf (mesmo que existam outras, o programa sempre procura essas faixas, em 100% dos casos).

/ip firewall address-list

add address=65.49.0.0/17 disabled=no list=UltraSurfServers
add address=204.107.140.0/24 disabled=no list=UltraSurfServers

2. Detecto IP`s da rede interna que tentaram realizar algum tipo de conexão com essas faixas, e adiciono esses IP`s numa nova Address List (UltraSurfUsers) por 5min.

/ip firewall mangle
add action=add-src-to-address-list address-list=UltraSurfUsers \
address-list-timeout=5m chain=prerouting comment=UltraSurfUsers disabled=\
no dst-address-list=UltraSurfServers in-interface=Interface-LAN

3. Bloqueio completamente os IP da Address list UltraSurfUsers (até que eles saiam dela, ou seja, 5min após fecharem o UltraSurf).

/ip firewall filter
add action=drop chain=forward comment="UltraSurf Users" in-interface=\
Interface-LAN src-address-list=UltraSurfUsers