Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá Pessoal!

    Esse post é do usuário "rrinfor", que sou eu, mas por algum motivo que eu desconheço estou sem permissão para postar, então criei outro usuario para isso, enfim...

    Recebi algumas reclamações de clientes, alegando que os sites bloqueados pelo squid estavam sendo acessados sem nenhuma restrição, tomei conhecimento de um software chamado Ultrasurf (coisa do diabo) rodando na rede, ao testa-lo fiquei pasmo com a maneira como ele funciona, criando um proxy localhost na porta 9666 e fazendo tentativas de conexão em uma infinidade de endereços e portas incluindo uma porta de uso comum para conexões criptografadas, porta tcp 443 (https) tirando dessa forma o squid da jogada e permitindo o uso indiscriminado da internet nos ambientes corporativos, pesquisei e li sobre várias soluções, testei algumas, inclusive bloqueios com layer7 no iptables, mas não deu certo, outras soluções como proxy autenticado ainda não testei, entre outros como listar ips (em uma tarde listou mais de 1500 ips) para bloquea-los em adddress-list. Então no mikrotik usando um metodo bastante comum para proteção contra ataques de força bruta no iptables usei as seguintes regras;

    /ip firewall filter
    add action=drop chain=forward comment=\
    "UltraSurf Policy - Dropar UltraSurf Blacklist" disabled=yes \
    src-address-list=ultrasurf_blacklist

    add action=add-src-to-address-list address-list=ultrasurf_blacklist \
    address-list-timeout=10m chain=forward comment=\
    "UltraSurf Policy - Listar Tentativa de Conexao 3 -> Blacklist" \
    connection-state=new disabled=yes dst-port=25101,33500 protocol=tcp \
    src-address-list=ultrasurf_tentativa2

    add action=add-src-to-address-list address-list=ultrasurf_tentativa2 \
    address-list-timeout=20m chain=forward comment=\
    "UltraSurf Policy - Listar Tentativa de Conexao 2" connection-state=new \
    disabled=yes dst-port=25101,33500 protocol=tcp src-address-list=\
    ultrasurf_tentativa1

    add action=add-src-to-address-list address-list=ultrasurf_tentativa1 \
    address-list-timeout=30m chain=forward comment=\
    "UltraSurf Policy - Listar Tentativa de Conexao 1" connection-state=new \
    disabled=yes dst-port=25101,33500 protocol=tcp

    add action=drop chain=forward comment="UltraSurf Policy - Drop TCP 25101 e 33500" \
    connection-state=established disabled=yes dst-port=25101,33500 protocol=tcp

    add action=drop chain=forward comment="UltraSurf Policy - Drop TCP 3128" \
    disabled=yes dst-port=3128 out-interface=ppp-out1 protocol=tcp

    add action=drop chain=forward comment=\
    "UltraSurf Policy - Dropar Enderecos Comuns" disabled=yes \
    dst-address-list=ultrasurf_address protocol=tcp


    /ip firewall address-list
    add address=65.49.2.0/24 comment="" disabled=yes list=ultrasurf_address
    add address=65.49.14.0/24 comment="" disabled=yes list=ultrasurf_address
    add address=72.21.0.0/24 comment="" disabled=yes list=ultrasurf_address



    O Ultrasurf tenta conexões em uma infinidade de endereços e portas, o que torna impossivel criar uma lista de ips para bloquear, da mesma maneira é totalmente inconveniente bloquear a porta 443 e criar white-list, mas ao analizar o trafego do ultrasurf, verifiquei que ele faz suas primeiras tentativas de conexão na porta tcp 25101 e 33500, mesmo bloqueando a porta 443 assim como uma lista com 3Kg de IPs, ele constantemente bate nessa porta, então usei ela como padrão, pois para criar um blacklist com o ip de origen na rede local após 3 tentativas e bloquear a travessia (forwad) desse host completamente, as outras regras são complementares e recomendo utiliza-las se você não ultiliza um firewall com politicas padrão "drop" para travessia.

    De qualquer forma não apresento isso como uma solução definitiva, pois cada caso é um caso, deu certo nos meus clientes, mas pode não funcionar na estrutura de vocês, então peço que testem e reportem o que pode estar errado ok.

    Abraços!
    Última edição por robman; 22-03-2011 às 15:43.

  2. UP, vou testar!



  3. Vou testar também e sem falta te falo o que verifiquei.
    Esse informação é muito importante para que administra redes empresariais e acadêmicas.

  4. Não esqueçam de mudar a interface WAN (internet) ppp-out1 para a interface wan da rede em questão



  5. Só acompanhando porque esse tal de Ultrasurf realmente é uma praga..






Tópicos Similares

  1. Respostas: 2
    Último Post: 23-11-2011, 03:16
  2. Bloqueando imesh
    Por gileno no fórum Servidores de Rede
    Respostas: 0
    Último Post: 03-02-2003, 16:53
  3. Bloqueando sites pelo conteudo com o squid
    Por no fórum Servidores de Rede
    Respostas: 7
    Último Post: 22-11-2002, 16:51
  4. Bloqueando Conexões de Portas Específicas
    Por Hawthorn no fórum Servidores de Rede
    Respostas: 8
    Último Post: 22-11-2002, 10:32
  5. Ftp Bloqueando apenas nos terminais
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 09-11-2002, 10:34

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L