Em Terça 19 Junho 2007 17:27, ..:: S.e.r.i.a.L ::.. escreveu:
> entao galera eu aki nao usa o proxy transparente, pois o firewall ta em
> outra maquina, eu configuro tudo no browser... acho entao terei que estar o
> metodo CONNECT que o Maxwillian orientou....
>
> Em 19/06/07, henrique <[EMAIL PROTECTED]> escreveu:
> > Em Terça 19 Junho 2007 17:11, Maxwillian Miorim escreveu:
> > > On 6/19/07, henrique <[EMAIL PROTECTED]> wrote:
> > > > Em Terça 19 Junho 2007 16:56, Maxwillian Miorim escreveu:
> > > > > On 6/19/07, ..:: S.e.r.i.a.L ::.. <[EMAIL PROTECTED]> wrote:
> > > > > > Boa tarde pessoal,
> > > > > >
> > > > > > Estou com um problema com esse software. Preciso efetuar um
> >
> > bloqueio,
> >
> > > > > > porem ele eh executado numa estacao ruindows e se conecta em
> >
> > varios
> >
> > > > > > servidores (ip´s) de outros lugares, através da porta 9666 e 443
> >
> > (o
> >
> > > > > > lado ruim da história).
> > > > > >
> > > > > > Gostaria de saber se alguém já teve esse problema e como resolveu
> >
> > o
> >
> > > > > > bloqueio dele tanto com iptables e com o squid, pois ja efetuei o
> > > > > > bloqueio da porta 9666 no firewall e mesmo assim ele sai,
> >
> > utilizando
> >
> > > > > > a porta 443, na qual nao posso bloquear (naturalmente).
> > > > > >
> > > > > > Pelo que andei lendo sobre esse software, ele eh usado para
> > > > > > burlar
> >
> > as
> >
> > > > > > navegacoes que sao monitoradas na china e em outros lugares que
> >
> > usam
> >
> > > > > > a mesmo política (que é estudpida, no meu ponto de vista rs rs).
> > > > >
> > > > > Da uma estudada sobre o controle por CONNECT do squid, esse cara
> > > > > faz milagres :)
> > > >
> > > > Se bem que eu acho que ele tá saindo via proxy transparente. Se for
> >
> > isso
> >
> > > > mesmo, duvido que ele sequer passe perto do connect. :D :D :D
> > > > Caso ele especificasse o ip do proxy nas estações, e retirasse o nat
> >
> > da
> >
> > > > 443, ele conseguiria realmente milagres. rssrs
> > >
> > > É por isso que eu sou um administrador feliz, sem proxy transparente
> >
> > aqui.
> >
> > > :)
> >
> > somos dois :)
> > eu deixo proxy transparente sim. Mas sem nat da 443. Se alguém me liga
> > dizendo
> > que não tá entrando em banco e email, dai eu passo as instrucoes para
> > proxy,
> > caso a máquina não esteja capturando do dhcp ou do dns.
> >
> > Liçao de casa para o proximo feriado, em 9 de julho:
> > usar uma regra do iptables para fazer um prerouting da porta 443 para uma
> > porta X do apache local, onde a mensagem padrão 404 é uma página de
> > instruções de como especificar o proxy. Isso vai fazer eu ter menos
> > trabalho
> > ainda (somente com quem não saiba ler. heheheh)
> >
> > :D :D :D
> >
> > [ ]s, Henry.
Mas que estranho então!!!
se a sua rede não usa proxy transparente, e vc faz tudo no no navegador,
porque tem que deixar o forward da porta 443 liberado (se foi o que eu
entendi direito...)
em todo caso, pegue uma máquina com o tal ultrasurf instalado, e monitore
quais as conexões que ela faz. Fazendo uma analogia com o skype, ele se
conecta primeiro a um "super-nó", de onde baixa uma lista xml com varios
endereços de diversos ips para conexão. Se vc bloquear este super-nó, não tem
como baixar as listas e o skype não conecta. (isso pelo menos na versão 1.4.
rssrs) Este ultrasurf deve seguir o mesmo princípio. Uma máquina pre-definida
via dns ou ip fixo, e de onde partem informações sobre outros hosts.
para você bloquear o skype, por ex, use esta acl e esta regra:
acl apenas_ip dstdom_regex -i ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}
($|:.+|/))
http_access deny CONNECT apenas_ip
http_access deny CONNECT !SSL_ports
no seu caso também deve funcionar.
(na duvida do que esta acl faz, copie e cole o ([0-9]{1,3}\.[0-9]{1,3}\.
[0-9]{1,3}\.[0-9]{1,3}($|:.+|/)) dentro do kregexpeditor)
[ ]s, Henry.
