igual creo que lo estoy volviendo OFF-TOPIC al hilo del mail.... asi que mejor la seguimos en otro lugar a la charla :-P El 5 de octubre de 2011 16:34, basel valentin <[email protected]>escribió:
> en realidad para eso te conviene seguir usando TOR. > por defecto squid no revisa paquetes por ssl (porque van encriptado), por > lo tanto tambien hay que bloquear el puerto 443.. y ahi ya mataste a TOR y > ultrasurfs....... > claro, tambien le arruinaste al vida a todos los que quieran hacer una > conexion segura a gmail o cosas asi... por eso tenes que ponerte a ver las > reglas con detenimiento para abrir el paso de info con cuenta gotas a tus > usuarios "de confianza" (lease la gente que te paga). > > donde manda captian no manda marinero y definitivamente mi patria es el > dinero :-P (me salio con rima y todo) > > El 5 de octubre de 2011 16:06, Marcos G. <[email protected]> escribió: > > On Wed 05 Oct 2011 14:59:10 basel valentin wrote: >> > pero ultrasurf lo que hace es probar cada un minuto el puerto y saltar >> de >> > uno a otro en funcion de si esta bloqueado o no. >> > aparte de ir conectandote automaticamente a varios proxies >> > automaticamente.... es un infiernillo de programa. osea que si yo te >> > bloqueo el puerto 2000, al minuto ultrasurf se conecta al 2001, >> 2002,2003 >> > etc.... >> >> ok, aún así supongo que eso sería sencillo de pasar por encima usando algo >> como proxychains >> >> el cual testea si tal proxy anda bien, a partir de una lista de proxies... >> >> ponele que si tenés en /etc/proxychains.conf algo así: >> >> >> # defaults set to "tor" >> socks5 127.0.0.1 9050 >> socks5 127.0.0.1 2000 >> socks5 127.0.0.1 2001 >> socks5 127.0.0.1 2002 >> socks5 127.0.0.1 2003 >> socks5 127.0.0.1 2004 >> socks5 127.0.0.1 2005 >> socks5 127.0.0.1 2006 >> socks5 127.0.0.1 2007 >> >> y lanzás firefox así: >> >> proxychains firefox >> >> Proxychains irá fijándose qué proxy (al azar o no) está disponible y lo >> usará >> >> claro que la joda es que, en ese ejemplo, además de tor tendrías que tener >> 8 proxies más... pero >> podrías variar el número de puerto del/los proxy/ies en localhost y volver >> a navegar...¿? >> >> >> > es mas, no se como, pero usa google como tunel para mandar la >> > info. >> >> raro >> >> > yo sigo haciendo pruebas para bloquear ese tipo de navegacion pero no >> > comprometer las conexiones ssl (que no necesariamente deberian ser >> > rechazadas). >> > >> > El 5 de octubre de 2011 14:52, Marcos G. <[email protected]> escribió: >> > > On Wed 05 Oct 2011 13:40:29 basel valentin wrote: >> > > > ultrasurf te hace navegar por web proxis anonimos y enmascara tu ip. >> > > > mas o menos el mecanismo es hacer una conexion ssl a un lista de >> proxis >> > > > interminable a los que les hace las peticiones (encriptadas) , los >> > > > proxis navegan y le devuelven la pagina... salteando la seguridad y >> > > > los firewall.... tambien va probando puertos para evitar que le >> > > > bloqueen un puerto de salida (en principio sale por el 9666 segun lo >> > > > que vi)... hace una cosa muy rara que es transformar a localhost >> > > > (127.0.0.0) en un servidor proxy, internet explorer apuntaa ese >> proxy >> > > > (127.0.0.0:9666) y >> > > >> > > ese >> > > >> > > > proxy que es ultrasurf, hace el resto de la magia. >> > > >> > > está bien, eso último es como hacer un tunel ssh >> > > >> > > ssh -D 2000 [email protected] >> > > >> > > ahí usarías en firefox 127.0.0.1 en el puerto 2000 para navegar usando >> el >> > > tunel ssh >> > > >> > > supongo que desde GNU/Linux , pudiéndose hacer ese tunel, se podría >> pasar >> > > por encima de las >> > > restricciones que citás? >> > > >> > > > para linux supongo que lo mejor son las redes TOR.... el tema con >> > > >> > > ultrasurf >> > > >> > > > es que vos navegas anonimamente en tu red....... pero el que >> controla >> > > > el proxy (y vos no sabes quien es) no te regala espacio porque si, >> > > > para algo usan tu info ;-) >> > > > >> > > > es bastante difil de bloquear sin bloquear las conexiones ssl (que >> es >> > > > lo que hicieron los chinos por cierto) >> > > > >> > > > El 5 de octubre de 2011 13:29, Marcos G. <[email protected]> >> escribió: >> > > > > On Wed 05 Oct 2011 10:00:01 basel valentin wrote: >> > > > > > probe ultrasurf, y si no bloqueas tooodooos los puertos, logra >> > > > > > salir >> > > > > > >> > > > > > :-( >> > > > > >> > > > > Hay algo como ultrasurf en Software Libre? >> > > > > >> > > > > ¿Qué hace el programa exactamente? >> > > > > >> > > > > > mi recomendación seria separar la red en usuarios de confianza y >> > > > > > comunes. >> > > > > >> > > > > a >> > > > > >> > > > > > los comunes les bloqueo absolutamente todo menos el puerto 80 >> > > > > > (redireccionado al 3128 del squid). >> > > > > > a los de confianza los tiro por una sub red echa con el server >> dhcp >> > > > > >> > > > > (dando >> > > > > >> > > > > > ips en fuincion de la mac) y abro los puertos. >> > > > > > >> > > > > > es bastante restrictivo, pero intuyo que un laboratorio de >> > > >> > > informatica >> > > >> > > > > > escolar no deberia tener tanta salida al exterior. >> > > > > > >> > > > > > con los websproxys anda barbaro a no ser que sean conexiones ssl >> > > > > > (las cuales bloqueas y punto). >> > > > > > >> > > > > > El 5 de octubre de 2011 09:46, basel valentin < >> > > >> > > [email protected] >> > > >> > > > > >escribió: >> > > > > > > la unica forma que no pase por tu proxy es que sea https, si >> la >> > > >> > > info >> > > >> > > > > > > no va encriptada, por mas redes tor o webproxys que uses caen >> por >> > > >> > > tu >> > > >> > > > > > > squid que analiza palabras claves. >> > > > > > > si es https... bloqueas con shorewall :-D >> > > > > > > >> > > > > > > <risa malevola> >> > > > > > > muajua jua jua jua >> > > > > > > </risa malevola> >> > > > > > > >> > > > > > > total, separas fisicamente internet de la red con el router (2 >> > > >> > > placas >> > > >> > > > > de >> > > > > >> > > > > > > red). >> > > > > > > es una muy bunea solucion, sobre todo si aprovechas >> herramientas >> > > > > > > y >> > > > > >> > > > > haces >> > > > > >> > > > > > > estadisticas del consumo y cosas de esas >> > > > > > > es la ventaja de no usar un proxy del lado del cliente, no >> > > >> > > configuras >> > > >> > > > > > > nada en el cliente (y por ende, el cliente no puede modificar >> > > > > > > nada).... todo lo redirecciona con DNAT a eth1 y al puerto >> 3128 >> > > > > > > (lo que sea >> > > > > >> > > > > http). >> > > > > >> > > > > > > El 5 de octubre de 2011 09:34, Daniel A. Rodriguez < >> > > > > > > >> > > > > > > [email protected]> escribió: >> > > > > > >> > no, porque los web proxies................ van por tu proxi >> > > > > > >> > transparente >> > > > > > >> > >> > > > > > >> > :-D >> > > > > > >> > :-D :-D (lee las palabras claves que estas poniendo en tu >> > > >> > > webproxi >> > > >> > > > > > >> > :y >> > > > > > >> > >> > > > > > >> > bloquea >> > > > > > >> > igual). >> > > > > > >> > la unica pega es con https, al ser formato encriptado squid >> no >> > > >> > > lo >> > > >> > > > > > >> > revisa >> > > > > > >> >> > > > > > >> y >> > > > > > >> >> > > > > > >> > pasa directo (puerto 443 si mal no recuerdo), pero con >> > > > > > >> > shorewall >> > > > > >> > > > > podes >> > > > > >> > > > > > >> > bloquear ese puerto. >> > > > > > >> > el otro tema son los p2p, para eso necesitas hacer analizar >> > > > > > >> > trafico >> > > > > >> > > > > y >> > > > > >> > > > > > >> > vienen >> > > > > > >> > soluciones especificas (que en este momento no me acuerdo). >> > > > > > >> > >> > > > > > >> > pero los proxis transparentes son una excelente solucion, >> solo >> > > > > > >> >> > > > > > >> configuras >> > > > > > >> >> > > > > > >> > el >> > > > > > >> > servidor y todos los clientes caen si o si por tu squid ;-) >> > > > > > >> >> > > > > > >> y dolores de cabeza como ultrasurf? >> > > > > > >> >> > > > > > >> >> > > > > > >> --~--~---------~--~----~------------~-------~--~----~ >> > > > > > >> Escuelas Libres :: Porque la educación es mucho mejor cuando >> es >> > > > > > >> libre www.escuelaslibres.org.ar >> > > > > > >> --- >> > > > > > >> Para entrenar, cualquier programa sirve. Para educar, sólo >> > > >> > > Software >> > > >> > > > > > >> Libre. (Federico Heinz) >> > > > > > >> --- >> > > > > > >> _______________________________________________ >> > > > > > >> Gleducar - http://www.gleducar.org.ar >> > > > > > >> Para enviar mensajes: [email protected] >> > > > > > >> Desuscripción: escribir un correo a [email protected] >> > > > > > >> Información de la lista: >> > > > > > >> http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar >> > > > > > >> Para ver los mensajes anteriores: >> > > > > > >> http://news.gmane.org/gmane.linux.edu.gleducar >> > > > > > > >> > > > > > > -- >> > > > > > > >> --------------------------------------------------------------- >> > > > > > > Valentin Basel >> > > > > > > Analista en Sistemas Informaticos >> > > > > > > Departamento informatico >> > > > > > > Centro de Estudios Avanzados - UNC - CONICET >> > > > > > > >> --------------------------------------------------------------- >> > > > > > > http://www.sistema-icaro.blogspot.com/ >> > > > > > > http://fedoraproject.org/wiki/User:Valentinbasel >> > > >> > > >> ------------------------------------------------------------------------- >> > > >> > > > > > > -- >> > > > > >> > > > > -- >> > > > > >> > > > > Marcos Guglielmetti >> > > > > >> > > > > ▲ >> > > > > :::::::::::::::::: >> > > > > :::::::::::::::::: M U S I X ::::::::::::::::::::: >> > > > > ▼ >> > > > > >> > > > > www.musix.org.ar >> > > > > >> > > > > www.ovejafm.com >> > > > > >> > > > > www.softwarelibre.org.ar >> > > > > >> > > > > _______________________________________________ >> > > > > Para encontrarte con activistas del movimiento social del software >> > > >> > > libre: >> > > > > >> http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimient >> > > > > o >> > > > > >> > > > > _______________________________________________ >> > > > > Gleducar - http://www.gleducar.org.ar >> > > > > Para enviar mensajes: [email protected] >> > > > > Desuscripción: escribir un correo a [email protected] >> > > > > Información de la lista: >> > > > > http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar >> > > > > Para ver los mensajes anteriores: >> > > > > http://news.gmane.org/gmane.linux.edu.gleducar >> > > >> > > -- >> > > >> > > Marcos Guglielmetti >> > > >> > > ▲ >> > > :::::::::::::::::: >> > > :::::::::::::::::: M U S I X ::::::::::::::::::::: >> > > ▼ >> > > >> > > www.musix.org.ar >> > > >> > > www.ovejafm.com >> > > >> > > www.softwarelibre.org.ar >> > > >> > > _______________________________________________ >> > > Para encontrarte con activistas del movimiento social del software >> libre: >> > > >> http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento >> > > >> > > _______________________________________________ >> > > Gleducar - http://www.gleducar.org.ar >> > > Para enviar mensajes: [email protected] >> > > Desuscripción: escribir un correo a [email protected] >> > > Información de la lista: >> > > http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar >> > > Para ver los mensajes anteriores: >> > > http://news.gmane.org/gmane.linux.edu.gleducar >> >> -- >> Marcos Guglielmetti >> ▲ >> :::::::::::::::::: M U S I X ::::::::::::::::::::: >> ▼ >> www.musix.org.ar >> www.ovejafm.com >> www.softwarelibre.org.ar >> _______________________________________________ >> Para encontrarte con activistas del movimiento social del software libre: >> http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento >> >> _______________________________________________ >> Gleducar - http://www.gleducar.org.ar >> Para enviar mensajes: [email protected] >> Desuscripción: escribir un correo a [email protected] >> Información de la lista: >> http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar >> Para ver los mensajes anteriores: >> http://news.gmane.org/gmane.linux.edu.gleducar >> > > > > -- > --------------------------------------------------------------- > Valentin Basel > Analista en Sistemas Informaticos > Departamento informatico > Centro de Estudios Avanzados - UNC - CONICET > --------------------------------------------------------------- > http://www.sistema-icaro.blogspot.com/ > http://fedoraproject.org/wiki/User:Valentinbasel > > --------------------------------------------------------------------------- > -- --------------------------------------------------------------- Valentin Basel Analista en Sistemas Informaticos Departamento informatico Centro de Estudios Avanzados - UNC - CONICET --------------------------------------------------------------- http://www.sistema-icaro.blogspot.com/ http://fedoraproject.org/wiki/User:Valentinbasel --------------------------------------------------------------------------- _______________________________________________ Gleducar - http://www.gleducar.org.ar Para enviar mensajes: [email protected] Desuscripción: escribir un correo a [email protected] Información de la lista: http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar Para ver los mensajes anteriores: http://news.gmane.org/gmane.linux.edu.gleducar
