2011/11/3 Paulo Henrique - YM <[email protected]> > Em 03/11/2011 10:02, Enio Marconcini escreveu: > > 2011/11/3 Analista Informatica - Destilaria Agua Bonita< > > [email protected]> > > > >> ______________________ Luciano O. Bissoli - T.I. Destilaria Água Bonita > >> Ltda. Fone/Fax: (18)3373-4400/4401 www.aguabonita.com.br > >> [email protected] > >> ----- Original Message ----- > >> From: "Paulo Henrique BSD Brasil"<[email protected]> > >> To:<[email protected]> > >> Sent: Wednesday, November 02, 2011 8:20 PM > >> Subject: Re: [FUG-BR] bloquear ultrasurf > >> > >> > >> Em 02/11/2011 21:03, vic escreveu: > >>> Em Qua 02 Nov 2011 16:55:27 BRST, Paulo Henrique BSD Brasil escreveu: > >>>> Tipo primeiro podemos fazer o seguinte. > >>>> > >>>> 1 - Disserte sobre o seu ambiente. > >>>> 2 - Disponibilize informações técnicas como sistema operacional, > >>>> firewall, método de configuração atualmente empregado. > >>>> 3 - Esclareça ponto do seu ambiente no qual a configuração de um > >>>> recursos possa interferir em outro ( https é um recursos complicado de > >>>> gerenciar ). > >>>> > >>>> Se achou tudo isso muito complicado podemos simplificar e pedir para > >>>> você procurar no google, ou mesmo ler a maldita documentação que pelo > >>>> visto você nem sabe da existência !!! > >>>> > >>>> Espero ter ajudado !!! > >>>> > >>>> Uma otima tarde !!! :P)> > >>>> > >>>> Em 02/11/2011 16:35, Flavio Souza escreveu: > >>>>> Preciso bloquear o ultra surf, a questão é, vai ser preciso bloquear > a > >>>>> port > >>>>> 443. qual seria a regra para bloquear? e depois como eu posso libera > >> aos > >>>>> poucos os sites que usa a mesma port e especificando o ip da rede > >>>>> interna > >>>>> para ter acesso? > >>>>> ------------------------- > >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> Paulo, não fale dessa maneira. Documentação é algo excelente! > >>> > >> Flávio, não leve a mal não quero fazê-lo passar por ridículo, é que de > >> vez em quando aparece perguntas cujo já há exemplos na própria > >> documentação, por isso pedi para lê-la. > >> > >> E outra aqui na FUG o pessoal é tranquilo, sossegado, amanhã talvez > >> precisará usar as listas internacionais, lá o pessoal não é nada educado > >> com relação de perguntas em que a própria documentação responde > >> explicitamente. > >> > >> Outro fator interessante é aprender a perguntar, avalie a sua pergunta > >> "Como bloquear o ultrasurf, vi que tem que bloquear a porta 443, como > >> faço isso" > >> > >> Para não dizer que só falei e nada fiz vai ai as regras. > >> > >> IPFW+FreeBSD > >> ipfw add 0001 deny all from any to any 443 > >> > >> PF+FreeBSD/OpenBSD > >> > >> block quick in on $minha_intranet_interface inet proto tcp from any to > >> ($minha_internet_interface) port 443 flags S/SA keep state > >> > >> IPTables+Linux > >> > >> iptables -A OUTPUT -t filter -d $minha_rede --dest-port 443 -j DROP ( > >> Verifique a sintaxe pois faz muito tempo que não o uso ). > >> > >> Espero ter ajudado !!! :D > >> > >> Vai por fé, faz a mesma pergunta na lista [email protected] e verá > >> como será respondido. > >> > >> Se achar que não o pessoal da FUG, mais eu fui mal educado em pedir para > >> você ler a documentação, creio que passou então da hora de lê-la. > >> > >> Att. > >> > >> > >> -- > >> "Quando a Morte decide contar uma historia, > >> A melhor ação que possa fazer é ouvi-la, > >> e torcer por não ser a sua própria a tal história." > >> > >> Paulo Henrique. > >> Analista de Sistemas / Programador > >> BSDs Brasil. > >> Genuine Unix/BSD User. > >> Fone: (21) 9683-5433. > >> > >> > >> Bom dia pessoal. > >> > >> Sem querer apimentar mais esse tópico. Estou com o mesmo problema aqui > na > >> empresa. Porem bloquear a porta 443 geral e liberar apenas para as > maquinas > >> que usa é complicado, pois não é só banco que utiliza essa porta. Existe > >> uma > >> maneira mais refinada de tratar o pacote do ultrasurf para não ter que > >> bloquear a porta 443 geral? > >> > >> Att. > >> > >> Luciano O. Bissoli > >> Analista Informatica - Destilaria Água Bonita > >> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > > > nos meus testes eu notei que o ultrasurf usava a porta 443 e que todas as > > conexões são destinadas a diversos IPs e não urls, consegui bloquear > fácil, > > sem bloquear a porta 443 (que na minha idéia iria causar mais dor de > cabeça > > para depois sair liberando os sites confiáveis) > > > > eu no meu caso uso um gateway freebsd com lusca(squid), e todas as > conexões > > passa por esse gfateway, consegui o bloqueio ao ultrasurf criando uma acl > > dessa forma: > > > > acl ips_dst_liberados dst > > "/usr/local/etc/squid/regras/ips_dst_liberados.txt" > > acl blockip1 dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ > > acl blockip2 url_regex > > > ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443 > > http_access allow ips_dst_liberados > > http_access deny blockip1 > > http_access deny blockip2 > > > > com isso eu bloqueio acesso aos ips, nos meus testes o ultrasurf não > > conseguiu conectar, porém quando algum site busca algo via IP, preciso > por > > esse ip na lista dos liberados para passar, mas pelo menos achei mais > fácil > > que bloquear tudo e depois sair liberando sites de bancos e outros > > confiáveis que usa 443 > > > > > Mais o proxy tem que ser setado no browser para funcionar, como > transparente não dá certo. > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >
é... aqui na empresa não fazemos nat (na realidade só é feito para algumas portas ou ips de destino, tipo, caixa federal etc), tudo tem que passar pelo squid, neste caso conseguimos tranquilamente... mas no caso de proxy transparente, usa-se o firewall para fazer um redir da porta 80 para a porta do proxy, por acaso se ajustasse um outro redir da porta 443 não resolveria? -- *ENIO RODRIGO MARCONCINI* @eniomarconcini <http://twitter.com/eniomarconcini> skype: eniorm facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> *"UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things." * ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
