Em Terça 19 Junho 2007 17:27, ..:: S.e.r.i.a.L ::.. escreveu: > entao galera eu aki nao usa o proxy transparente, pois o firewall ta em > outra maquina, eu configuro tudo no browser... acho entao terei que estar o > metodo CONNECT que o Maxwillian orientou.... > > Em 19/06/07, henrique <[EMAIL PROTECTED]> escreveu: > > Em Terça 19 Junho 2007 17:11, Maxwillian Miorim escreveu: > > > On 6/19/07, henrique <[EMAIL PROTECTED]> wrote: > > > > Em Terça 19 Junho 2007 16:56, Maxwillian Miorim escreveu: > > > > > On 6/19/07, ..:: S.e.r.i.a.L ::.. <[EMAIL PROTECTED]> wrote: > > > > > > Boa tarde pessoal, > > > > > > > > > > > > Estou com um problema com esse software. Preciso efetuar um > > > > bloqueio, > > > > > > > > porem ele eh executado numa estacao ruindows e se conecta em > > > > varios > > > > > > > > servidores (ip´s) de outros lugares, através da porta 9666 e 443 > > > > (o > > > > > > > > lado ruim da história). > > > > > > > > > > > > Gostaria de saber se alguém já teve esse problema e como resolveu > > > > o > > > > > > > > bloqueio dele tanto com iptables e com o squid, pois ja efetuei o > > > > > > bloqueio da porta 9666 no firewall e mesmo assim ele sai, > > > > utilizando > > > > > > > > a porta 443, na qual nao posso bloquear (naturalmente). > > > > > > > > > > > > Pelo que andei lendo sobre esse software, ele eh usado para > > > > > > burlar > > > > as > > > > > > > > navegacoes que sao monitoradas na china e em outros lugares que > > > > usam > > > > > > > > a mesmo política (que é estudpida, no meu ponto de vista rs rs). > > > > > > > > > > Da uma estudada sobre o controle por CONNECT do squid, esse cara > > > > > faz milagres :) > > > > > > > > Se bem que eu acho que ele tá saindo via proxy transparente. Se for > > > > isso > > > > > > mesmo, duvido que ele sequer passe perto do connect. :D :D :D > > > > Caso ele especificasse o ip do proxy nas estações, e retirasse o nat > > > > da > > > > > > 443, ele conseguiria realmente milagres. rssrs > > > > > > É por isso que eu sou um administrador feliz, sem proxy transparente > > > > aqui. > > > > > :) > > > > somos dois :) > > eu deixo proxy transparente sim. Mas sem nat da 443. Se alguém me liga > > dizendo > > que não tá entrando em banco e email, dai eu passo as instrucoes para > > proxy, > > caso a máquina não esteja capturando do dhcp ou do dns. > > > > Liçao de casa para o proximo feriado, em 9 de julho: > > usar uma regra do iptables para fazer um prerouting da porta 443 para uma > > porta X do apache local, onde a mensagem padrão 404 é uma página de > > instruções de como especificar o proxy. Isso vai fazer eu ter menos > > trabalho > > ainda (somente com quem não saiba ler. heheheh) > > > > :D :D :D > > > > [ ]s, Henry.
Mas que estranho então!!! se a sua rede não usa proxy transparente, e vc faz tudo no no navegador, porque tem que deixar o forward da porta 443 liberado (se foi o que eu entendi direito...) em todo caso, pegue uma máquina com o tal ultrasurf instalado, e monitore quais as conexões que ela faz. Fazendo uma analogia com o skype, ele se conecta primeiro a um "super-nó", de onde baixa uma lista xml com varios endereços de diversos ips para conexão. Se vc bloquear este super-nó, não tem como baixar as listas e o skype não conecta. (isso pelo menos na versão 1.4. rssrs) Este ultrasurf deve seguir o mesmo princípio. Uma máquina pre-definida via dns ou ip fixo, e de onde partem informações sobre outros hosts. para você bloquear o skype, por ex, use esta acl e esta regra: acl apenas_ip dstdom_regex -i ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3} ($|:.+|/)) http_access deny CONNECT apenas_ip http_access deny CONNECT !SSL_ports no seu caso também deve funcionar. (na duvida do que esta acl faz, copie e cole o ([0-9]{1,3}\.[0-9]{1,3}\. [0-9]{1,3}\.[0-9]{1,3}($|:.+|/)) dentro do kregexpeditor) [ ]s, Henry.