2011/11/3 Analista Informatica - Destilaria Agua Bonita < [email protected]>
> > ______________________ Luciano O. Bissoli - T.I. Destilaria Água Bonita > Ltda. Fone/Fax: (18)3373-4400/4401 www.aguabonita.com.br > [email protected] > ----- Original Message ----- > From: "Paulo Henrique BSD Brasil" <[email protected]> > To: <[email protected]> > Sent: Wednesday, November 02, 2011 8:20 PM > Subject: Re: [FUG-BR] bloquear ultrasurf > > > Em 02/11/2011 21:03, vic escreveu: > > Em Qua 02 Nov 2011 16:55:27 BRST, Paulo Henrique BSD Brasil escreveu: > >> Tipo primeiro podemos fazer o seguinte. > >> > >> 1 - Disserte sobre o seu ambiente. > >> 2 - Disponibilize informações técnicas como sistema operacional, > >> firewall, método de configuração atualmente empregado. > >> 3 - Esclareça ponto do seu ambiente no qual a configuração de um > >> recursos possa interferir em outro ( https é um recursos complicado de > >> gerenciar ). > >> > >> Se achou tudo isso muito complicado podemos simplificar e pedir para > >> você procurar no google, ou mesmo ler a maldita documentação que pelo > >> visto você nem sabe da existência !!! > >> > >> Espero ter ajudado !!! > >> > >> Uma otima tarde !!! :P)> > >> > >> Em 02/11/2011 16:35, Flavio Souza escreveu: > >>> Preciso bloquear o ultra surf, a questão é, vai ser preciso bloquear a > >>> port > >>> 443. qual seria a regra para bloquear? e depois como eu posso libera > aos > >>> poucos os sites que usa a mesma port e especificando o ip da rede > >>> interna > >>> para ter acesso? > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > Paulo, não fale dessa maneira. Documentação é algo excelente! > > > Flávio, não leve a mal não quero fazê-lo passar por ridículo, é que de > vez em quando aparece perguntas cujo já há exemplos na própria > documentação, por isso pedi para lê-la. > > E outra aqui na FUG o pessoal é tranquilo, sossegado, amanhã talvez > precisará usar as listas internacionais, lá o pessoal não é nada educado > com relação de perguntas em que a própria documentação responde > explicitamente. > > Outro fator interessante é aprender a perguntar, avalie a sua pergunta > "Como bloquear o ultrasurf, vi que tem que bloquear a porta 443, como > faço isso" > > Para não dizer que só falei e nada fiz vai ai as regras. > > IPFW+FreeBSD > ipfw add 0001 deny all from any to any 443 > > PF+FreeBSD/OpenBSD > > block quick in on $minha_intranet_interface inet proto tcp from any to > ($minha_internet_interface) port 443 flags S/SA keep state > > IPTables+Linux > > iptables -A OUTPUT -t filter -d $minha_rede --dest-port 443 -j DROP ( > Verifique a sintaxe pois faz muito tempo que não o uso ). > > Espero ter ajudado !!! :D > > Vai por fé, faz a mesma pergunta na lista [email protected] e verá > como será respondido. > > Se achar que não o pessoal da FUG, mais eu fui mal educado em pedir para > você ler a documentação, creio que passou então da hora de lê-la. > > Att. > > > -- > "Quando a Morte decide contar uma historia, > A melhor ação que possa fazer é ouvi-la, > e torcer por não ser a sua própria a tal história." > > Paulo Henrique. > Analista de Sistemas / Programador > BSDs Brasil. > Genuine Unix/BSD User. > Fone: (21) 9683-5433. > > > Bom dia pessoal. > > Sem querer apimentar mais esse tópico. Estou com o mesmo problema aqui na > empresa. Porem bloquear a porta 443 geral e liberar apenas para as maquinas > que usa é complicado, pois não é só banco que utiliza essa porta. Existe > uma > maneira mais refinada de tratar o pacote do ultrasurf para não ter que > bloquear a porta 443 geral? > > Att. > > Luciano O. Bissoli > Analista Informatica - Destilaria Água Bonita > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > nos meus testes eu notei que o ultrasurf usava a porta 443 e que todas as conexões são destinadas a diversos IPs e não urls, consegui bloquear fácil, sem bloquear a porta 443 (que na minha idéia iria causar mais dor de cabeça para depois sair liberando os sites confiáveis) eu no meu caso uso um gateway freebsd com lusca(squid), e todas as conexões passa por esse gfateway, consegui o bloqueio ao ultrasurf criando uma acl dessa forma: acl ips_dst_liberados dst "/usr/local/etc/squid/regras/ips_dst_liberados.txt" acl blockip1 dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ acl blockip2 url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443 http_access allow ips_dst_liberados http_access deny blockip1 http_access deny blockip2 com isso eu bloqueio acesso aos ips, nos meus testes o ultrasurf não conseguiu conectar, porém quando algum site busca algo via IP, preciso por esse ip na lista dos liberados para passar, mas pelo menos achei mais fácil que bloquear tudo e depois sair liberando sites de bancos e outros confiáveis que usa 443 -- *ENIO RODRIGO MARCONCINI* @eniomarconcini <http://twitter.com/eniomarconcini> skype: eniorm facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> *"UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things." * ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
