Denuncie   Favoritos   Indicar  

Bloquear Ultrasurf direto no Squid [RESOLVIDO]

1. Bloquear Ultrasurf direto no Squid [RESOLVIDO]

Augusto Silva
rockmusic26
(usa Outra)

Enviado em 31/05/2013 - 15:18h

Galera, alguém conseguiu uma forma de bloquear o ultrasurf direto no squid?
Consegui utiizando a seguinte regra:


acl ipacl url_regex http://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*

http_access deny ipacl



acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

http_access deny numeric_IPs


No entanto também me bloqueou o Skype, alguém sabe se existe uma forma de desbloquear o skype?


0 0
  • Quote

    •   


    2. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 31/05/2013 - 16:08h 


    
acl ipacl url_regex http://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
    
http_access deny ipacl
    
 
    
acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
    
http_access deny numeric_IPs


    Resolveu o bloqueio do Ultrasurf e Skype ?

    0 0
  • Quote

    • 3. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 31/05/2013 - 16:27h

    saitam escreveu:


    
acl ipacl url_regex http://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
    
http_access deny ipacl
    
 
    
acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
    
http_access deny numeric_IPs


    Resolveu o bloqueio do Ultrasurf e Skype ?


    Sim, no meu caso bloqueou estes 2 programas, e deixou livre páginas https que não estão definidas como bloqueadas, só que no meu caso por ironia do destino preciso liberar o skype...

    0 0
  • Quote

    • 4. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 31/05/2013 - 16:39h

    Eu fiz o bloqueio do Ultrasurf com uma política de firewall iniciando tudo DROP e liberando apenas as portas necessárias, no caso porta 80 e 443 forcei passar pelo proxy Squid, ou seja, se o usuário retirar o IP:PORTA no navegador fica sem internet, sendo assim obrigado a colocar o IP:PORTA novamente no navegador para retornar navegação normal, ou seja, obriga o usuário a usar o proxy.

    Com isso resolve o problema de "burlar" o proxy com Ultrasurf e TOR.

    PS: Apenas funciona no proxy autenticado

    0 0
  • Quote

    • 5. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 31/05/2013 - 16:59h

    saitam escreveu:

    Eu fiz o bloqueio do Ultrasurf com uma política de firewall iniciando tudo DROP e liberando apenas as portas necessárias, no caso porta 80 e 443 forcei passar pelo proxy Squid, ou seja, se o usuário retirar o IP:PORTA no navegador fica sem internet, sendo assim obrigado a colocar o IP:PORTA novamente no navegador para retornar navegação normal, ou seja, obriga o usuário a usar o proxy.

    Com isso resolve o problema de "burlar" o proxy com Ultrasurf e TOR.

    PS: Apenas funciona no proxy autenticado


    Foi o que eu fiz, todas as portas são bloqueadas e algumas eu libero, bloquiei no firewall inclusive a porta 80 e a 443, ai jogo o tráfego da porta 80 para a porta 3128 do squid, se eu retirar o proxy do navegador a máquina realmente não navega, mas não sei, acho que nesta versão atual do ultrasurf ele mesmo está informando uma conexão de proxy dentro do navegador e o internet explorer aceita esse proxy e navega tranquilamente!!!!
    A única forma que bloqueou o ultrasurf foi essa regra que enviei acima só que ela me bloqueou o skype, o meu proxy é autenticado, só que não efetuo controle por usuários no squid, meu único problema é liberar o skype...

    0 0
  • Quote

    • 6. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 31/05/2013 - 17:10h

    Tem um servidor DNS interno ?

    Em caso afirmativo, pode criar a regra abaixo para apenas aceitar usar o DNS interno.


    
#---LIBERA O DNS INTERNO ABAIXO---
    
iptables -A INPUT -p udp -s 192.168.1.2 -j ACCEPT
    
iptables -A FORWARD -p udp -d 192.168.1.2 -j ACCEPT
    
iptables -A INPUT -p udp -s 192.168.1.2 -j ACCEPT
    
iptables -A FORWARD -p udp -d 192.168.1.2 -j ACCEPT
    
#iptables -A FORWARD -p udp --dport 53 -j ACCEPT


    Note que a porta 53 udp/tcp deve estar bloqueada, para apenas usar o DNS interno.

    Com isso, além de forçar o usuário a usar o proxy, também força a usar o DNS interno distribuído via DHCP.


    0 0
  • Quote

    • 7. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 31/05/2013 - 17:24h

    saitam escreveu:

    Tem um servidor DNS interno ?

    Em caso afirmativo, pode criar a regra abaixo para apenas aceitar usar o DNS interno.


    
#---LIBERA O DNS INTERNO ABAIXO---
    
iptables -A INPUT -p udp -s 192.168.1.2 -j ACCEPT
    
iptables -A FORWARD -p udp -d 192.168.1.2 -j ACCEPT
    
iptables -A INPUT -p udp -s 192.168.1.2 -j ACCEPT
    
iptables -A FORWARD -p udp -d 192.168.1.2 -j ACCEPT
    
#iptables -A FORWARD -p udp --dport 53 -j ACCEPT


    Note que a porta 53 udp/tcp deve estar bloqueada, para apenas usar o DNS interno.

    Com isso, além de forçar o usuário a usar o proxy, também força a usar o DNS interno distribuído via DHCP.


    Não temos um DNS interno não saitam.

    0 0
  • Quote

    • 8. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 31/05/2013 - 17:27h

    Segue o howto DNS no Bind9 - http://mundodacomputacaointegral.blogspot.com.br/2011/09/configurando-servidor-dns-bind-no-linux.htm...

    PS: Testado no Slackware, mas pode ser adaptado facilmente para Debian também.

    0 0
  • Quote

    • 9. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 31/05/2013 - 17:43h

    saitam escreveu:

    Segue o howto DNS no Bind9 - http://mundodacomputacaointegral.blogspot.com.br/2011/09/configurando-servidor-dns-bind-no-linux.htm...

    PS: Testado no Slackware, mas pode ser adaptado facilmente para Debian também.


    Não sei saitam meio radical demais para uma rede com apenas 6 máquinas, acho que vou tentar a solução pelo fail2ban que a galera postou em um dos tópicos, mas é uma pena uma regra tão simples ter me bloqueado o skype também...

    0 0
  • Quote

    • 10. Re: Bloquear Ultrasurf direto no Squid [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 03/06/2013 - 11:39h

    Fiz o procedimento que muitos já tem realizado, ou seja, para o ultrasurf utilizei a configuração via fail2ban que derruba da internet o usuário que tentar utilizar tal programa.
    Lembrando que a regra que postei anteriormente também funciona mas com um inconveniente que é também o bloqueio do Skype, mas irá funcionar para aqueles que quiserem bloquear ambos skype e ultrasurf pelo menos na minha regra funcionou 100%...

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (3)

    Setxkb persistente (1)

    Preciso resolver um erro de DPKG (1)

    Erro de cache (1)

    Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: