Merhaba ilk bağlantıyı sağlayamaması için gerekirse serverı kapatırız sorun değil :) fişi çeker geri takarız vs. :) Ultrasurf kullanan kullanıcıları bloklamak onların internet erişimini kesmek gibi yaprıtırımlar uygulayabiliriz. Zaten ultrasurfin kullandığı bir kısım iplerin listesi dolaşıyor internette. Ultrasurfin kullandığı belli bir ip listesi var ancak bu sayının 1000 in üzerinde olduğunu zannetmiyorum. Bunu o ipleri bloklamak babında söylemiyorum illaki buna da çare düşünmüşlerdir. Yani bu iplere erişen kullanıcıları tespit edebiliriz o açıdan söyledim. iptablesın logunu açtığımızda bu rahatça görülüyor. oradan yakalınabilir sanırım. Bunu da şurdan biliyorum ben loglardan erişmeye çalıştığı ipleri bulup tek tek blokladım. Hatta tekil ipleri geçtim /32 olan ipleri /24 şeklinde blokladım. ultrasurfi nerdeyse bağlanamayacak hale getirdim ancak bu sefer google ve facebook gibi sitelere girememeye başlamıştı. Sanırım arada onların ipleri de nasibini aldı :)
2014-03-14 16:10 GMT+02:00 Mehmet CELIK <[email protected]>: > Utlrasorf'u squid ile bloklayamazsiniz. Utlrasorf cok ilginc bir yazilim. > Windows'da hook mekanizmasi ile calisiyor ve kendisince bir listesi var... > herhangi bir sekilde disarida bi noktaya erisemediginde, listeyi devreye > sokuyor.. > > Bu liste basit gibi gorunsede complex bir yapisi var.. soyleki, en son > noktada 443 uzerinden SSL client modunda "Client hello" ile disari cikmaya > calisiyor.. iptables gibi firewall yazilimlari, baglanti durumu (conn > state) kararli (established) olmus bi baglanti icin durum takibi yapamaz > !!! Bu sayede ultrasorf bi defa baglanti sagladiginda durdurulamaz !!! > > Bu tarz baglantilari durdurmak icin ileri duzey iptables teknikleri > kullanmak gerekiyor. Squid bunu asla yapamaz :(( L7 seviyesinde protokol > analizi yapip sign'lara kural yazmaniz gerekir veya illa Squid ise icap > tarzi hem header hem de body taramasi yapabilecek bi sistem kullanmaniz > gerekir.. > > Diyelimki ultrasorfu blok icin bir takim kurallar yazdiniz, muhtemelen SSL > based siteler calismayacaktir. Muhtemelen facebook calismayacaktir. Google > calismayacaktir (google kendisini https'e yonlendiriyor) > > Komple butun portlari yasaklamak belki bi cozum AMA ultrasorf bi defa > establish bir baglanti sagladiginda, buyuk ihtimalle durduramayacak, hatta > sniffer'larla izleseniz bile anlamsiz datalar goreceksiniz.. > > OpenSource olarak L7-filter protokol analizi yapan ve iptables'a entegre > olabilen bi yazilim var.. fakat istediginiz bi trafigi durdurmak icin iyi > bir analiz yapip, dogru signature'lari bulup l7-filter'in anlayacagi > sekilde .pat olarak hazirlamaniz gerekir. > > Umarim bu bilgiler size yardimci olur.. > > > Samsung Mobile tarafından gönderildi > > > -------- Orjinal mesaj -------- > Kimden: Mehmet Recep Türkoğlu > Tarih:14 03 2014 15:48 (GMT+02:00) > Alıcı: Linux > Konu: [Linux] Re: YNT: Re: Ücreti karşılığında proxy server kurulumu > > Merhaba > Madem bu kadar muhabbet döndü bu konu üzerinde bana da durumu açıklamak > düşer :) Ben 2008 yılında öğrenciyken kaldığım yurda centos kurmuştum. > Üzerinde squid vardı ancak hiç stabil değildi kendi kendine durduğu filan > oluyordu. Onun içn cron job filan kurmuştum arada bi restart etsin filan > diye :) . İptablesı filan yapılandırdım. Ancak son günlerde serverda > sıkıntılar olmaya başladı girememeye filan başlamışlar. Ben de vakit ayırıp > ilgilenemedim. Modemi değiştirmişler uzaktan erişim de yapamadım. Geçen gün > sıfırdan debian kurdum. Bu arada yurttaki en büyük sorun bazı öğrencilerin > ultrasurf denilen programı kullanmaları sonucunda interneti felç ediyorlar. > Şimdi bizim en önemli amacımız bütün portları kapatıp sadece 80 e gelen > isteklere cevap vermek. Hatta transparent proxyye de gerek yok. 3128den > baplansınlar. Çünkü birisi bi yerden bişey açıyor ultrasurf gibi adam > sadece ödev yapacak google ı bile açamıyor. Sadece dns ve 80 portu 443 gibi > hayati portlar açık olsun gerisi önemli değil. 53 dışında bütün udpleri > kapatalım. Hatta bu konuda çok fazla bilgim yok ama servera dns server > kuralım 53 e içeriden bir makine erişemesin dns sorgulamalarını sadece > server yapsın. İşte facebookun chati çalışsın video filan izleyebilsinler o > yeter bize. Diğer uygulamaların hiçbirisi umurumuzda değil. içerik > filtreleme de o kadar dert değil. Sadece girilen siteler loglansın yeter. > Bir de bizim bağlantı 8 mbit bugün 25 mbite filan çıkarmayı düşünüyoruz. > Squid üzerinden hızı şekillendirelim. Mesela bir kişi 100kb/s den daha > hızlı download yapamasın. Uploada sınır koyabiliyormuyuz bilmiyorum. dün > squid içna raştırdım bulamadım. Bir de uzun zamandır linux kullanmıyordum > baya uzak kalmışım. Messele interfaces dosyaında eth1 e ip atıyorum bir > türlü o ipyi aldıramıyorum. Bu tür ufak tefek sıkıntılar var. > Özgür bey sanırım bu konuda ssh ile yardımcı olacak. Teşekkürler hepinize. > > > 2014-03-14 15:04 GMT+02:00 Ozgur <[email protected]>: > >> Selamlar, >> >> eger Squid3 kullanirsaniz ve konfigurasyon dosyanizda tuning yaparsaniz >> /16 gibi bir network'u de squid'den gecirebilirsiniz. Bu durumda cpu ve ram >> oldukca onem kazaniyor. Eger yeterli gelmezse ikinci bir squid ile load >> balance yapabilirsiniz. >> >> Squid zaten bir filtering araci degil, filtering icin squidguard ya da >> Dansguardian kullaniliyor ama /16 gibi bir network'te bende iki Squid >> sunucu uzerinde Dansguardian'da konfigure ederek calistirdim. Ancak >> squid.conf ve dansguardian.conf icerisinde cok fazla oynamam ve tuning >> yapmam gerekti. >> >> Sonuc itibari ile dogru sorulari sormak en dogru cozumun ilk ayagi >> aslinda :) >> >> Saygilarimla, >> >> Ozgur Karatas >> >> >> 2014-03-14 15:50 GMT+04:00 Mehmet CELIK <[email protected]>: >> >> Abilerim yaaa :)) bu konuda tartisilir mi yaa :) >>> >>> Arkadasimiz squid ile proxy yapmak istiyor. Bu kadar basit :) >>> >>> Squid'e vaktiyle patch yazmis birisi olarak, hicbir zaman !!! Squid size >>> mukemmelliyeti sunamaz. Cunku, dunya da hergun binlerce yeni site cikiyo.. >>> cunku, bi dansguardian kullanmak asiri CPU ve Ram tuketmek demek.. cunku >>> Layer7 seviyesin de Squid duzgun bi filtering yapamaz demek.. cunku, L7 >>> seviyesinde Squid sadece HTTP Header'ini tarar (url v.s.) body kontrol >>> yapamaz demek.. >>> >>> illa ki HTTP body yonetimi isteniyorsa, biraz iptables+queue+l7+dns >>> spoof (/16 gibi buyuk blogu olan sistemleri tekil IP'lere indirgemek icin) >>> tabii ki bu biraz prof bir cozum oldu !!! ama bahsi gecen yer bi yurt ise >>> :) genclere bu kadar da yuklenmeye gerek yok :)) >>> >>> Neyse, ilgili arkadasimiz Debian veya CentOS veya RedHat kuracak ve >>> isletim sisteminin paket yoneticisini kullanarak (ornegin apt veya yum >>> gibi) squid, dansguardian, sarg v.s. repo'dan tek komutla otomatik kuracak >>> :) >>> >>> Artik gerisi birazcik Google amcaya dogru sorulari sormayi kaliyor. >>> >>> Biz OpenSource camiasina gonul vermis insanlariz. Bu mailimi saygisizlik >>> gibi algilamayin. Sadece olmasi gerekeni soyledim. >>> >>> Iyi gunler dilerim. >>> >>> >>> Samsung Mobile tarafından gönderildi >>> >> >> _______________________________________________ >> Linux E-Posta Listesi >> [email protected] >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux >> >> > > > -- > Mehmet Recep Türkoğlu > > _______________________________________________ > Linux E-Posta Listesi > [email protected] > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux > > -- Mehmet Recep Türkoğlu
_______________________________________________ Linux E-Posta Listesi [email protected] Liste kurallari: http://liste.linux.org.tr/kurallar.php Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux
