Comentários do Blog

Boa noite amigo! Seja bem vindo de volta à esse mundo dos provedores. Rsrsrs. Olha, na minha opinião, eu substituiria essa fonte nobreak de 24v/7a, pois irá demorar uns 300 anos para carregar as baterias, e nem sei se carregará mesmo, tem um tópico que o colega @rubem esgota o assunto, procure aqui no fórum. Eu não sei como é seu cenário aí, mas hj o mais viável e seguro, no tocante à investimento e avanço rápido da tecnologia, como vc mesmo falou acho que o wireless está mais para atendimento à clientes que moram distantes do provedor e que são muito espaçados uns dos outros. Faça um projeto de fibra e, dependendo da aglomeração dos clientes certamente será mais compensatório que sem fios. Na fibra vc pode ramificar para utp e/ou ftth.

Vai começar bem pra caramba hehe. Acompanhando.

Consegui bloquear o UltraSurf, JAP e similares através do Firewall e Proxy.

Mas a solução é bem simples:
Firewall configurado dentro dos padrões de Default Deny;
Liberar somente as portas necessárias para funcionamento da rede;
Portas ssh, 80, 53 e 3128 liberadas exclusivamente para acesso ao IP da Lan do servidor;
Proxy Não Transparente, atuando como saída exclusiva de HTTP, HTTPS e FTP;
WPAD para configurar o proxy nos clientes.

Escrevi um pequeno artigo sobre como procedi e este esta disponível no meu blog (http://coelholuciano.blogspot.com.br...efinitivo.html).

A solução implementada já esta em uso, com sucesso, a mais de um ano.
Um forte abraço
Luciano Coelho

sou iniciante so na entendi direito essa parte que vc fala para coloca a faixa de nosso ip o meu aqui nao pegou a minha faixa nao [email protected] se pude me da uma força agradeço valeu desde ja

[QUOTE=danistation;bt7817]Eu AINDA não sei usar o seu método e nem sei fazer da maneira mais elegante que seria pelo AD.

Contudo, faço tudo aplicando arquivos .reg através de scripts de login (arquivo.bat). Para isso, o usuário que está logando deve ter permissão de administrador local da máquina que usa, para que os arquivos .reg do script sejam adicionados durante a inicialização.

Tecnicamente seria a mesma coisa feita pelas janelas que você usou. Sei também que algumas polices são feitas em [HKEY_CURRENT_USER] e outras em [HKEY_LOCAL_MACHINE]. Sei que a maioria das policies são especificas de cada uma dessas duas chaves. Não tenho certeza se a janela que vc usou para ativar e desativar essas opções operaram nas mesmas chaves que usei.

Na pior das hipoteses, faça um pequeno trabalho arduo: manda ver na restrição de execução de programas...[/QUOTE]

Na verdade, já estou usando uma solução que eu mesmo cheguei.... rodo um serviço qualquer escutando na mesma porta local do ultrasurf: 9666... com isso ele conecta mas nao consegue navegar.... afinal ficam dois serviços com a mesma porta de escuta... nenhum dos dois funciona.... hehehehe... coloquei o FTP Server do XP.... ficou bacana. Segue post mais detalhado da historia toda.... [url=http://leandrotravaglia.blogspot.com/2010/06/bloqueando-o-ultra-surf.html]Leandro Travaglia: Bloqueando o Ultra Surf[/url]

Mas se sua solução funciona, prefiro ela pois posso colocar no meu bat de logon..... teria como postar os REG ????

Postado originalmente por travaglia

Como foi o script de logon que vc criou ???

Eu AINDA não sei usar o seu método e nem sei fazer da maneira mais elegante que seria pelo AD.

Contudo, faço tudo aplicando arquivos .reg através de scripts de login (arquivo.bat). Para isso, o usuário que está logando deve ter permissão de administrador local da máquina que usa, para que os arquivos .reg do script sejam adicionados durante a inicialização.

Tecnicamente seria a mesma coisa feita pelas janelas que você usou. Sei também que algumas polices são feitas em [HKEY_CURRENT_USER] e outras em [HKEY_LOCAL_MACHINE]. Sei que a maioria das policies são especificas de cada uma dessas duas chaves. Não tenho certeza se a janela que vc usou para ativar e desativar essas opções operaram nas mesmas chaves que usei.

Na pior das hipoteses, faça um pequeno trabalho arduo: manda ver na restrição de execução de programas...

Oi danistation.... tentei fazer oque vc disse, mas não dá certo... o Ultrasurf continua alterarndo o proxy mesmo sem o usuário ter direito para alterar.... alterei no GPEDIT.MSC a opção de alteração no proxy do internet explorer, tanto no usuario quanto no computador.... e o usuario passa a nao conseguir mudar... mas mesmo assim acontece isso...

Como foi o script de logon que vc criou ???


[QUOTE=danistation;bt7716]Vou citar como resolvi esse problema e mais um segundo numa tacada só:

1 - Ultrasurf: Esse programa altera as configurações de proxy do bowser, fazendo com que ele utilize um proxy externo que não seja o nosso. Dificil de resolver por iptables, difícil de resolver por Squid. Solução fácil: SCRIPT DE LOGON. Meu proxy é transparente, mas quando defini as configurações do browser com os dados do meu servidor proxy, funcionou 100%. Dessa forma, por script de logon (AD), defino configurações no registro do Window$, setando o browser para usar HTTP e HTTPS sempre pelo meu proxy squid E negando permissão ao usuário fazer alterações no registro do Window$. Assim, quando o tonto executa o Utltrasurf, toma um PÃ na cara, porque não pode alterar as configurações do bowser para outros proxies, já que isso é feito no registro do Windows, que não dá a ele permissão para alteração. Bloqueio também os menus dessas configurações no browser. Quando o usuário tontão tenta alterar pelo menu ferramentas/opções/etc., não pode, porque está tudo cinza!!!

2 - Essa foi mais bunita ainda: Quando defini HTTPS manualmente no browser, TODAS as conexões que levam HTTPS na URL passaram a ser filtradas com êxito pelo squid! Detalhe: Meu squid está operando na mesma máquina que tem o iptables distribuindo internet para todo mundo.

Resumindo: Ultrasurf travado, executa o programa mas não funciona; Páginas HTTP e HTTPS filtradas e bloqueadas apenas pelo SQUID! Ficou nota 10! Acho que essa informação será bem vinda pelos colegas!!! Iptables apenas fazendo sua função principal, compartilhando internet, redirecionando portas e negando algum tipo de comunicação.

Grande abraço a todos![/QUOTE]

Vou citar como resolvi esse problema e mais um segundo numa tacada só:

1 - Ultrasurf: Esse programa altera as configurações de proxy do bowser, fazendo com que ele utilize um proxy externo que não seja o nosso. Dificil de resolver por iptables, difícil de resolver por Squid. Solução fácil: SCRIPT DE LOGON. Meu proxy é transparente, mas quando defini as configurações do browser com os dados do meu servidor proxy, funcionou 100%. Dessa forma, por script de logon (AD), defino configurações no registro do Window$, setando o browser para usar HTTP e HTTPS sempre pelo meu proxy squid E negando permissão ao usuário fazer alterações no registro do Window$. Assim, quando o tonto executa o Utltrasurf, toma um PÃ na cara, porque não pode alterar as configurações do bowser para outros proxies, já que isso é feito no registro do Windows, que não dá a ele permissão para alteração. Bloqueio também os menus dessas configurações no browser. Quando o usuário tontão tenta alterar pelo menu ferramentas/opções/etc., não pode, porque está tudo cinza!!!

2 - Essa foi mais bunita ainda: Quando defini HTTPS manualmente no browser, TODAS as conexões que levam HTTPS na URL passaram a ser filtradas com êxito pelo squid! Detalhe: Meu squid está operando na mesma máquina que tem o iptables distribuindo internet para todo mundo.

Resumindo: Ultrasurf travado, executa o programa mas não funciona; Páginas HTTP e HTTPS filtradas e bloqueadas apenas pelo SQUID! Ficou nota 10! Acho que essa informação será bem vinda pelos colegas!!! Iptables apenas fazendo sua função principal, compartilhando internet, redirecionando portas e negando algum tipo de comunicação.

Grande abraço a todos!

Postado originalmente por lcmm84

Bom, o ultrasurf é relativamente fácil de se bloquear, espero que os usuários da sua rede não descubram o JAP (JonDo), ele é bem pior que o ultrasurf pois o mesmo faz um tunel ssl na porta 80 e mais algumas se a 443 estiver bloqueada.
Sobre suas regras, analise através do "torch", ou até mesmo pelo "netstat -a" no cliente windows, e voce irá perceber que a porta 9666 é utilizada somente no cliente. Não há necessidade de todas essas regras somente as duas primeiras (1-detecta varias tentativa de conexão 443 e adiciona o ip à uma lista, 2 - bloqueia a lista ) deverão fazer o serviço, faça os testes.
O meu bloqueio é simples:
-Firewall totalmente fechado, conexões FORWARD e INPUT somente para servidores, a rede dos clientes so sai para internet se for através do proxy(squid)
-Squid negando acesso à 443, permitinto somente uma witelist
- Na pagina "Access denied" do squid, coloquei um linnk para uma pagina com um formulário para desbloqueio de sites, no qual abre um chamado(glpi) para mim desbloquear o site ssl que o usuário esta tentando acessar.

Obs: se vc usa Squid com autenticação, é so bloquear a porta 443 nos FORWARD da vida, pois om ultrasurf nao suporta autenticação no proxy.

Cuidado com o JAP/Jondo, ele é pior, garanto

eu vi, a porta 9666 é aliada ao endereço de loopback 127.0.0.1 mas coloquei só para garantir que ele não passe com ela se a 443 estiver fechada, e também soube destes outros ai, por isso a solução foi bloqueamos as maquinas para que não aceite instalação de software algum, pois se precisarem de instalar algo nas máquinas tem que chamar os responsável para isso.

Postado originalmente por mascaraapj

nao entendi direito essa segunda regra
add chain=forward action=add-src-to-address-list dst-port=443 protocol=tcp connection-limit=15,32 limit=15,8 src-address-list=ULTRASURF address-list=ULTRASURF address-list-timeout=1m comment="BLOQUEANDO ACESSO AO ULTRASURF2" disabled=no

aqui vc disse que todo endereco da lista ULTRASURF que ultrapassar um certo limite de conexao na porta 443 seja adicionado na lista ULTRASURF... para que adicionar um endereco que ja pertece a lista novamente?
nao seria melhor adicionar apenas os enderecos que nao existem na lista e que ultrapassaram o limite?

quem adiciona é o mikrotik o endereço ip do usuario que esta bombardeando a saida na porta 443, e só consegue bombardear esta porta se tiver contaminado por virus ou usando ultrasurf, é claro que ninguém vai perder tempo escrevendo virus pra esta porta, rsrsrs