BFW Firewall & Router

[EugenioNava]

Ante todo mis mas cordiales saludos desde Venezuela!

He seguido y revisado en el foro todo lo referente al peligro que representa el "Ultrasurf"
como evitarlo y bloquearlo... pero en ninguna parte se comenta como detectarlo y saber quien lo usa?
para despues caerle con todo...!!

Alguna manera de ubicar su IP, Mac, etc...

Por favor si alguien tiene algun comentario, se agracede...

Eugenio Nava

[Asimov]

Hola Eugenio, tal vez pueda ayudar, me podrias decir cuales son los peligros de ultrasurf?

Saludos.

[baiev]

Hola Eugenio, tal vez pueda ayudar, me podrias decir cuales son los peligros de ultrasurf?

Saludos.

O Ultrasurf é um arquivo executável que não precisa ser instalado basta executar, assim ele altera as configurações do browser cliente na parte de conexão proxy, criando um tipo de conexão própria através da porta 443 no servidor, a partir dai o browser dos micros clientes do BraziFW não respeitam politicas e ou regras impostas pelo proxy e nem pelo firewall, acessando qualquer conteúdo...
Resumindo ele burla qualquer segurança de internet que você faça no servidor...

[alcsantiago]

Também quero/preciso de um solução.
Se ficarem sabendo, compartilhem.

I also want/need a solution.
If you know how to "fix" it, share with us.

[janesley]

Olá amigo:
http://www.brazilfw.com.br/forum/viewtopic.php?f=10&t=76126&p=234954&hilit=ultrasurf+mariana#p234714
http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=77541&p=247148&hilit=ultrasurf+mariana#p247148
http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=82782&p=287749&hilit=ultrasurf+mariana#p287749
Espero ter ajudado!
E mais uma vez obrigado Mariana pela sua grandiosa contribuição !

[carlos_silvasantos]

Boa tarde Janesley,

Essas regras da Mariana estão funcionais no BrazilFw 3x?

Att

[baiev]

Pelo que eu li nos post acima e alguns mais atuais, essas regras já não funcionam mais para as versões mais novas do UltraSurf não tenho muita certeza...

[carlos_silvasantos]

Pelo que eu li nos post acima e alguns mais atuais, essas regras já não funcionam mais para as versões mais novas do UltraSurf não tenho muita certeza...

Boa tarde amigo Baiev,

Foi o que entendi também...

Eu tinha a confiança aqui na minha rede de que se o pessoal não pudesse instalar o ultrasurf eu poderia ficar tranquilo, mas como você mesmo falou ele tem versão portable daí já complica o negócio.

Eu tenho lista branca HTTPs aqui mas mesmo assim é um problema na rede, uma vez que os usuários que são liberados para acessar os HTTPs podem perfeitamente burlar usando o ultrasurf portable.

Será que o pessoal já passou ou está passando por esse problema e será que já pensaram em alguma alternativa que não seja o bloqueio completo de HTTPS?

Abraços!

[baiev]

Esses dia eu estava pensando em cria uma regra de IPTABLES, pra fazer um tratamento nos acesso a porta 443, quase como uma lista branca dentro da porta 443...
Estou tentando idealiza-la... Vamos ver se consigo...

[carlos_silvasantos]

Baiev,

Já tem script para fazer lista branca...


Att

[baiev]

Sim, mas é lista branca de Portas... Eu quero, não sei se é possível fazer lista branca de acesso dentro dela...443

[carlos_silvasantos]

Baiev,

Além da lista branca de portas você também pode fazer lista branca de sites HTTPs, liberando somente os necessários. Já foi feito e testado o script. Eu uso aqui.

Para fins de consulta, os dois primeiros tópicos abaixo me ajudaram a implantar a lista branca de HTTPS e o último tópico ensina formas de descobrir os range para liberação.

http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=82133&p=286167&hilit=Facebook+ainda+conecta%2C+mesmo+com+regras#p286167
http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=83325&p=292037&hilit=Tr%C3%A1fego+na+porta+443+ainda+liberado.#p292037
http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=85317


Att

[baiev]

Mas a minha missão seria barrar o Ultrasurf...
Esses scripts ai não funcionão né...?

[carlos_silvasantos]

Baiev,

O Ultrasurf não funciona conectando por ranges que acessam pela porta 443?

Então se você bloquear todo o acesso a porta 443 e somente liberar os sites que necessitar teoricamente resolve problema. Não concorda?

O único problema é se você tem computadores que estão excluídos da lista branca de HTTPs, como computadores dos diretores, etc. Ai esse pessoal poderá usar, em tese, o ultrasurf.

Ok?

Att

[baiev]

Realmente se barrar a porta 443 ele não funciona...

[baiev]

Eu acho que vai ter que mudar a Politica de acesso no IPTABLES primeiramente... e começar a implementar a partir dai...

[carlos_silvasantos]

Eu acho que vai ter que mudar a Politica de acesso no IPTABLES primeiramente... e começar a implementar a partir dai...

Como? Não entendi o que quis dizer.

Att

[baiev]

O IPTABLES por padrão no BrazilFW vem com politica ACCEPT: Aceita tudo menos o que é bloqueado.
O que eu quero fazer é passar pra politica de DROP: Nega tudo menos o que eu deixar.

[baiev]

Nem que seja só na tabela FORWARD...

[carlos_silvasantos]

Não tem necessidade,

É só você implementar o script que coloquei nos links acima, não tem necessidade nenhuma de modificar as regras do iptables do BraziFw.

Dá uma estudada nos três links que coloquei acima.

O segundo link, do Bruno Vescovi ensina passo a passo a implementar o script de bloqueio da porta 443 no rc.local.

Att

[baiev]

Já dei uma olhada lá, estou afim de tentar fazer com a Politica DROP, os links tem coisas interessantes...

[Eduardo]

O ideal seria um addon que desse DROP na porta 443 com opções de liberação de IPs (DIretores e privilegiados) e principalmente de sites HTTPS (lista com bancos, sites GOV como receita, etc..).
Assim resolveriamos também o problema de acesso as paginas HTTPS do Facebook, Orkut e outras qeu bloqueamos no Squid mas passam na porta 443.
Seria algo similar a um Dansguardian para porta HTTPS 443.
Creio que um script relativamente simples com entradas pelo Webadmin resolveria isso, mas o problema é algum por a mão na massa.

[carlos_silvasantos]

O ideal seria um addon que desse DROP na porta 443 com opções de liberação de IPs (DIretores e privilegiados) e principalmente de sites HTTPS (lista com bancos, sites GOV como receita, etc..).
Assim resolveriamos também o problema de acesso as paginas HTTPS do Facebook, Orkut e outras qeu bloqueamos no Squid mas passam na porta 443.
Seria algo similar a um Dansguardian para porta HTTPS 443.
Creio que um script relativamente simples com entradas pelo Webadmin resolveria isso, mas o problema é algum por a mão na massa.

Boa tarde,

Concordo Eduardo, na verdade os scripts fazem exatamente o que colocaste acima, mas se fosse construído um Addon com base nesses scripts seria bem fácil o gerenciamento e controle dos usuários e dos sites HTTPs acessados.

Att

[EugenioNava]

Ante todo pido disculpas por no responder, estuve fuera y no habia internet donde estaba...

Gracias a todos los que respondieron, ya logre bloquear el "Ultrasurf" pero ahora no logro acceder
a gmail, hotmail ni yahoo de manera normal, solo las IPs que esten en la lista blanca....

Necesito habilitar gmail, hotmail o yahoo a todos los usuarios por razones de trabajo pero seguir
bloqueando el "Ultrasurf"...? el correo electronico es una necesidad vital para todos los usuarios

Algun redirecionamiento..?

Gracias...

[almalves]

Caros colegas, também estou em busca de uma solução para bloquear o abençoado Ultrasurf e similares.
É inviável ter que configurar 30 notebooks e 400 estações manualmente, vejo que temos que conseguir uma solução usando proxy transparente.
O Addon deveria ser parecido com o Dynamic Firewall . Porém com opção para liberar alguns ip´s dentro da rede.
Alguém conseguiu resolver isso no BFW? se sim qual versão utilizada, gostaria que quem já conseguiu resolver, colaborasse com os colegas.

Abaixo receita que segundo autor e comentários resolve o problema, porém teria que usar proxy manual e o ambiente testado foi o FreeBSD.
http://www.vivaolinux.com.br/artigo/UltraSurf-Bloqueio-definitivo/?pagina=1
outra dica é essa : http://biapsia.blogspot.com.br/2010/08/bloqueio-de-ultrasurf-usando-apenas.html
Será que tem como utilizarmos como parâmetro para adaptar ao bfw?

[brunovescovi]

Bom dia, pessoal.

Abaixo receita que segundo autor e comentários resolve o problema, porém teria que usar proxy manual e o ambiente testado foi o FreeBSD.
http://www.vivaolinux.com.br/artigo/UltraSurf-Bloqueio-definitivo/?pagina=1
outra dica é essa : http://biapsia.blogspot.com.br/2010/08/bloqueio-de-ultrasurf-usando-apenas.html

Nenhum desses dois links mostra uma solução conforme você quer.
O primeiro link resolveu o problema do ultrasurf, mas além do servidor, também houve a necessidade de instalar o WPAD em todas as mãquinas windows para receber o proxy automaticamente, e nas estações linux teve que configurar o proxy na mão mesmo. Só isso já não seria como você quer porque você precisa de uma solução transparente.

O segundo link também não é eficaz porque o script sugerido não protege do ultrasurf, e sim de conexões numerosas na porta 433 quando forem em quantidade maior que 8, por exemplo. O problema é que poderemos com isso estar barrando outros serviços legítimos na web hoje (há muito tempo a porta 433 não é só usada para bancos, o facebook é um dos muitos exemplos). E mesmo que fazendo esse monitoramento na porta 433 resolvesse o problema, o ultrasurf pode fazer a conexão por qualquer outra porta se ele não conseguir pela 443, e se isso acontecer o script já perde de vez a eficiência.

No meu caso, não coloco absolutamente nenhum bloqueio de conteúdo. Pode usar o que quiser. Mas monitoro os acessos pelos logs e com isso encontro os infratores.
O ultrasurf só é usado porque a pessoa não conseguiu acessar o que ela queria, mas geralmente essa pessoa é leiga. Aí ela vai no google e descobre o ultrasurf, entre outros, e começa a usar. Mas se ela conseguir acessar o que ela quiser de início, sem bloqueios, ela nunca vai para o ultrasurf, e ainda mais vai ter tudo nos logs.
Para uma empresa ou escola o problema não é o acesso em si, mas a regra que foi quebrada, e quem quebrou a regra vai ter que ter conseqüências.

Na minha opinião, uma empresa ter que usar muitos controles de conteúdo é uma derrota na liderança da empresa, porque está consciente de que existem maus funcionários e fica por isso mesmo. Um funcionário que usa o facebook mesmo sabendo que a empresa proíbe, é esse mesmo funcionário que rouba uma caneta, que imprime 20 folhas na impressora da empresa para fins pessoais, que chega atrasado sem falar nada, que quebra um copo e esconde os cacos para ninguém saber que foi ele, enfim, quem quebra uma regra dentro do computador também quebra na vida real. A vantagem é que no computador podemos saber quem foi de forma simples: verificando os logs.

Eu sou adepto a um modo muito mais simples, o modo da confiança. Tomo por princípio que todos são confiáveis, mas mostro as regras, e quem quebrar passa a ser passível de punição. Os logs mostram tudo, e se os logs do squid forem poucos, temos outros processos de log como o ntop, por exemplo, e ainda outros mais específicos.

O ultrasurf ainda não tem solução definitiva de forma transparente, então é o caso apenas de decidirmos onde vamos empregar nossos esforços para resolver: no servidor ou no usuário, porque vai dar trabalho de um jeito ou de outro.

Um abraço.


PS.: Claro que existem casos onde é necessário bloquear, como em lan houses e cyber cafés, ou onde não se têm funcionários debaixo de uma política da empresa e nem alunos debaixo de regras específicas. Nesse caso o firewall tem que trabalhar. Querem solução transparente para o ultrasurf? Bloqueiem tudo por iptables (até a porta 80), e façam liberação caso a caso, linha por linha, porta por porta e só para IPs específicos. Dá um pouco de trabalho, mas muito menor do que a maioria das outras soluções.

[baiev]

Bom dia, pessoal.
Na minha opinião, uma empresa ter que usar muitos controles de conteúdo é uma derrota na liderança da empresa, porque está consciente de que existem maus funcionários e fica por isso mesmo. Um funcionário que usa o facebook mesmo sabendo que a empresa proíbe, é esse mesmo funcionário que rouba uma caneta, que imprime 20 folhas na impressora da empresa para fins pessoais, que chega atrasado sem falar nada, que quebra um copo e esconde os cacos para ninguém saber que foi ele, enfim, quem quebra uma regra dentro do computador também quebra na vida real. A vantagem é que no computador podemos saber quem foi de forma simples: verificando os logs.

Concordo plenamente...

[almalves]

Bom dia, pessoal.

Abaixo receita que segundo autor e comentários resolve o problema, porém teria que usar proxy manual e o ambiente testado foi o FreeBSD.
http://www.vivaolinux.com.br/artigo/UltraSurf-Bloqueio-definitivo/?pagina=1
outra dica é essa : http://biapsia.blogspot.com.br/2010/08/bloqueio-de-ultrasurf-usando-apenas.html

Nenhum desses dois links mostra uma solução conforme você quer.
O primeiro link resolveu o problema do ultrasurf, mas além do servidor, também houve a necessidade de instalar o WPAD em todas as mãquinas windows para receber o proxy automaticamente, e nas estações linux teve que configurar o proxy na mão mesmo. Só isso já não seria como você quer porque você precisa de uma solução transparente.

Ótimo, porém como trabalho com assistência técnica a uns 20 anos, sou obrigado a seguir a velha politica de "manda quem pode, obedece quem tem juízo".
Já me perguntei, me reuni e tentei argumentar com diversas empresas das mais de 30 que atendo, porém na maioria delas vc apenas logar os infratores não é suficiente e tentar mudar opinião dos proprietários é como tentar fazer os que se acham "Papas" da administração mudarem de religião. rsrs
E outra coisa, Facebook, twitter, etc.. = vicio mesmo, Imagina Uma escola por exemplo, onde adolescentes querem porque querem acessar conteúdo impróprio, os pais pagam a mensalidade e exigem a proibição mesmo, não estamos falando aqui só de funcionários, e sim, muita gente já conhece esses programinhas e conseguem facilmente burlar e ter acesso a conteúdo que não condiz com a necessidade da empresa, e a mesma não quer demitir 90% dos seus funcionários, querem apenas bloquear e pronto. Outros clientes que tenho precisam da internet apenas para 1 sistema online onde a solução deles já tem o que é necessário para o trabalho ( explo: telemarketing). Protegendo os usuários deles mesmos ou não, ainda é a solução mais plausível e em muitos casos.
Eu até sugeriria se pudéssemos criar um tópico onde postar cenários e arquivos de configuração em anexo já prontos, (claro que seria melhor adequar a um cenário seu especifico, mas muitas configurações são as mesmas) teríamos mais tempo hábil pra contribuir com outras soluções para o fórum. Uso o Bfw há no máximo 2 meses, me apaixonei por essa ferramenta, mas estou tendo dificuldades que talvez muitos por aqui já passaram antes, e espero num futuro não muito distante, poder estar postando soluções também aos demais colegas.
Revendo os casos onde realmente eu devo bloquear acesso a todos os sites e a todas as portas e liberar uma lista branca ( nem que essa contenha 10 mil sites) eu pergunto:
Então não há como faze-lo com proxy transparente certo? Como faze-lo então, usando Bfw, alguém teria um cenário similar? Onde liberto 20 equipamentos e bloqueio acesso aos demais? Qual versão foi utilizada? e quais addons serão necessários? Se for o caso, alguém teria o arquivo de configuração a disposição?
Agradeço a quem puder ajudar...

[baiev]

A gente sabe que existe casos e casos, a explanação do caro colega Bruno tem mais um tom de desabafo mesmo...
A unica solução para o Ultrasuf é fazer o que ele disse mesmo, fecha a porta 443 para tudo e vai abrindo conforma a necessidade vai aparecendo
ai resolve mas demora um pouco mas fica bom...

[almalves]

A gente sabe que existe casos e casos, a explanação do caro colega Bruno tem mais um tom de desabafo mesmo...
A unica solução para o Ultrasuf é fazer o que ele disse mesmo, fecha a porta 443 para tudo e vai abrindo conforma a necessidade vai aparecendo
ai resolve mas demora um pouco mas fica bom...

Sim entendi, como citado também já me questionei e procurei soluções alternativas com os clientes, mas infelizmente a conscientização é um processo, até pretendo bloquear em alguns cases e se possível liberar em horário de almoço, etc...
Vc teria o procedimento que eu deveria realizar? inclusive para deixar alguns pc´s fora dessa regra? com 100% de liberação?

[manim]

Realmente essa questão de empregar politicas de sistemas é uma caso longo a se discutir, e quando você é administrador de redes é cobrado ainda mais pela segurança e confiabilidade da rede, os "patrões" acham que é como só desligar o interruptor para apagar aquele luz, mais quem entende como realmente funciona todo o ecosistema sabe que não é simples assim.

PS: O atual estágio do BFW 3 ainda não dá para empregar uma politica de listra branca 100% perfeita, criei uma aqui na minha rede, mais mesmo assim as ultimas versões do ultrasurf ainda consegue obter sucesso na interconexão com o servidor, ai fica aquela velha história de Tom e Jerry.

[baiev]

Sim entendi, como citado também já me questionei e procurei soluções alternativas com os clientes, mas infelizmente a conscientização é um processo, até pretendo bloquear em alguns cases e se possível liberar em horário de almoço, etc...
Vc teria o procedimento que eu deveria realizar? inclusive para deixar alguns pc´s fora dessa regra? com 100% de liberação?

Vou criar umas regras básica pra você começar a fazer testes ai...

[almalves]

Sim entendi, como citado também já me questionei e procurei soluções alternativas com os clientes...

Vou criar umas regras básica pra você começar a fazer testes ai...

Obrigado amigos, estarei realizando umas tentativas aqui também, o que der certo a gente compartilha...

[baiev]

Aqui tem uma solução mais ou menos que eu achei, caso seja Imprescindível bloquear o UltraSurf...

Na pasta "/etc/brazilfw/custom" crie os seguintes arquivos:
micros_bloqueados
micros_liberados
https_liberados

Nesta pasta "/partition/custom" crie este arquivo:
https.sh

Tranforme https.sh em executável

Código: Selecionar todos

[brazilfw]/partition/custom# chmod +x https.sh


Dentro do https.sh coloque o seguinte codigo:

Código: Selecionar todos

#!/bin/sh
#Limpa regras da tabela FORWARD
iptables -F FORWARD

#Recoloca as Regras do /etc/rc.d/rc.firewall
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

#Nossa regras de Https Anti-Ultrasurf
micros_liberados=`cat /etc/brazilfw/custom/micros_liberados | xargs | sed 's/\ /,/g' `
micros_bloqueados=`cat /etc/brazilfw/custom/micros_bloqueados | xargs | sed 's/\ /,/g' `
https_liberados=`cat /etc/brazilfw/custom/https_liberados | xargs | sed 's/\ /,/g' `

iptables -I FORWARD -s $micros_bloqueados -p tcp --dport 443 -j DROP
iptables -I FORWARD -s $micros_bloqueados -d $https_liberados  -j ACCEPT
iptables -L FORWARD


Dentro do micros_bloqueados (Micro com acesso bloqueado com excessão dos https_liberados)

Código: Selecionar todos

192.168.0.20
192.168.0.21


Dentro do micros_liberados (Micros com tudo liberando)

Código: Selecionar todos

192.168.0.50
192.168.0.51


Dentro de https_liberados (aqui vai os sites e ip que usam a porta 443 que vão se liberado) aqui coloquie alguns do Bradesco e do Msn só pra teste coloque os seus..

Código: Selecionar todos

174.129.195.250
177.69.194.66
186.228.82.233
23.32.112.60
www.live.com
www.bradesco.com.br
www.ib2.bradesco.com.br
wwwss.bradesco.com.br


Rode os comando:

Código: Selecionar todos

[brazilfw]/partition/custom# ./https.sh


Otimo até aqui o Ultrasurf está bloqueado agora vamos adicionar uns https permitido;
Vá até a estação bloqueada ou bloqueie seu proprio micro(windows) e siga estes passos
Faça um acesso ao site HTTPS a ser liberado, enqunato ele tenta abrir vá em:
Iniciar==>Executar==>cmd.exe
Digite:

Código: Selecionar todos

C:\>netstat -n
Conexões ativas
  Proto  Endereço local         Endereço externo       Estado
  TCP    127.0.0.1:40455        127.0.0.1:40456        ESTABLISHED
  TCP    127.0.0.1:40456        127.0.0.1:40455        ESTABLISHED
  TCP    192.168.19.22:1032     23.9.135.117:80        CLOSE_WAIT
  TCP    192.168.19.22:16085    186.228.82.233:443     ESTABLISHED
  TCP    192.168.19.22:16087    186.228.82.233:443     ESTABLISHED
  TCP    192.168.19.22:17229    23.9.135.117:80        CLOSE_WAIT
  TCP    192.168.19.22:18402    177.69.194.66:443      CLOSE_WAIT
  TCP    192.168.19.22:18567    200.98.211.122:443     CLOSE_WAIT
  TCP    192.168.19.22:18876    200.98.205.86:443      ESTABLISHED
  TCP    192.168.19.22:18975    192.168.19.10:22       ESTABLISHED
  TCP    192.168.19.22:18985    184.85.247.240:443     CLOSE_WAIT
  TCP    192.168.19.22:18995    91.190.216.7:443       SYN_SENT
  TCP    192.168.19.22:18997    65.55.223.24:40032     ESTABLISHED
  TCP    192.168.19.22:19004    193.120.199.17:12350   ESTABLISHED
  TCP    192.168.19.22:19052    65.55.71.42:443        ESTABLISHED
  TCP    192.168.19.22:19818    177.69.194.65:443      ESTABLISHED
  TCP    192.168.19.22:19845    186.228.82.233:443     SYN_SENT
  TCP    192.168.19.22:19879    199.59.150.39:443      SYN_SENT
  TCP    192.168.19.22:19880    199.59.150.39:443      SYN_SENT
  TCP    192.168.19.22:26154    121.156.66.106:80      CLOSE_WAIT
  TCP    192.168.19.22:49446    192.168.19.3:445       ESTABLISHED
  TCP    192.168.19.22:52697    23.32.112.60:443       CLOSE_WAIT


Vai aparecer uma lista como esta ai acima, pegue os ips externos que estam na porta 443 com estado SYN_SENT,
e coloque eles dentro do arquivo /etc/brazilfw/custom/https_liberados faça isso até o site
https abrir normalmente...

Coloque o scritpt ele dentro do /etc/brazilfw/custom/rc.local (assim o script ficara na inicialização do BFW)

Código: Selecionar todos

/partition/custom/https.sh


Daqui pra frente é com vocês.. os caminho das pedras está dado, se alguém tiver coisa melhor ou alguma crítica pode ficar a vontade...

[brunovescovi]

Boa tarde, pessoal.

Devemos lembrar que o ultrasurf pode iniciar uma conexão em qualquer porta caso a porta 443 se encontre bloqueada. A lista branca não deve ser feita apenas para a porta 443, mas para todas as portas.
Exemplo: bloqueia tudo e vai liberando conjuntos de destinos e suas respectivas portas.

Se tratarmos somente a porta 443, o ultrasurf tenta em outra porta, e se tiver uma porta sequer liberada 100% no seu servidor, essa porta pode ser usada pelo ultrasurf.

Isso é só para deixar o administrador de redes maluco.

Um abraço.

[baiev]

Pra iniciar a conexão com o servidor ele usa somente a 443, localmente na estação ele usa qualquer porta...
Tõ usando o ultrasurf aqui e não passa mesmo...

[almalves]

Aqui tem uma solução mais ou menos que eu achei, caso seja Imprescindível bloquear o UltraSurf...

Na pasta "/etc/brazilfw/custom" crie os seguintes arquivos:

Pra iniciar a conexão com o servidor ele usa somente a 443, localmente na estação ele usa qualquer porta...
Tõ usando o ultrasurf aqui e não passa mesmo...

Só tenho a te agradecer,e parabenizar o colega por compartilhar seu conhecimento conosco,
Porém apareceu outro probleminha, eu estava utilizando o addon Dynamic Firewall para bloqueio das rede sociais, usando https,
E o script praticamente "liberou acesso a tudo que eu havia bloqueado lá."
O script realmente bloqueia o ultrasurf, realizei testes com a versão mais atualizada, e tudo ok.
Removi o Dynamic Firewall e estou tentando alterar o script para bloquear as redes sociais que incrivelmente ficaram liberadas.
Então imagino que eu deva utilizar o mesmo script para realizar bloqueio por string´s

Código: Selecionar todos

iptables -I FORWARD -m string -s $micros_liberados --algo bm --string "facebook.com" -j ACCEPT

Código: Selecionar todos

iptables -I FORWARD -m string -s $micros_bloqueados --algo bm --string "facebook.com" -j DROP

Outro detalhe, para os micros_liberados não há referencias de liberação, e a ordem não seria liberar primeiro e depois bloquear?
Caso já tenha essas alterações e puder me orientar onde coloca-las sequencia correta no https.sh, só faltaria isso no caso.
Meu cenário é o Bfw com proxy transparente, Kernel 3.0.4 PAE
Detalhe, suas explicações e seu script estão 100% até o momento, isso daria um ótimo addon , a ser implementado.
Me perdoe caso esteja cometendo erros primários.

[brunovescovi]

Bom dia, pessoal.

Pra iniciar a conexão com o servidor ele usa somente a 443, localmente na estação ele usa qualquer porta...
Tõ usando o ultrasurf aqui e não passa mesmo...

Obrigado pela correção, baiev. Desculpe minha informação desencontrada.

Abaixo receita que segundo autor e comentários resolve o problema, porém teria que usar proxy manual e o ambiente testado foi o FreeBSD.
http://www.vivaolinux.com.br/artigo/UltraSurf-Bloqueio-definitivo/?pagina=1

Eu sempre achei que o ultrasurf usasse somente a porta 443 mesmo, mas depois de ler um dos tutoriais que o colega almalves passou, eu pensei que estava desatualizado e mudei minha mente em relação ao ultrasurf.
Segue trecho do conteúdo do primeiro link:

Ao rodar o UltraSurf, ele inicia sua busca incansável por uma brecha no firewall, por onde possa passar e estabelecer a conexão com seus servidores externos. Inicialmente, tenta estabelecer a conexão via porta 443 em um dos endereços IP de seus infinitos servidores, não conseguindo via porta 443, passa a tentar a conexão em uma série de outras portas, e incansavelmente, segue esta rotina de ir trocando porta e IP, até conseguir estabelecer a conexão.

Fonte: http://www.vivaolinux.com.br/artigo/UltraSurf-Bloqueio-definitivo/?pagina=2
Da maneira que está escrito eu achei que essas portas fossem no servidor, mas de acordo com seus testes essas portas são na máquina local, então estou corrigindo minha informação anterior pois tinha me baseado no que li mas prefiro me basear nos testes reais do colega baiev, Sendo assim, e retificando, tratar somente a porta 443 pode resolver o problema.

Isso é muito bom porque achei que o problema fosse mais grave do que eu imaginava. Eu estava errado e dessa vez foi muito bom estar errado.

Valeu, baiev.

Um abraço.

[baiev]

Bom dia pessoal,

Bruno,
Valew...
Talvez esse tópico poderia ser copiado para "BrazilFW 3.x - Ajuda em Geral"
ou abrir um novo lá pra servir de exemplo e o pessoal ir testando e aprimorar ele, porque eu fiz ele meio na marreta...

almalves,
Que addon é este "Dynamic Firewall"? me passa ele ou como ele faz pra bloquear as "redes sociais" que talvez dê pra adaptar o script;

O meu script parte do seguinte principio:
0-Sem regras de bloqueio para micro_liberados;
1-Libera sites 443 permitidos para micro_bloqueados (bancos, sites que exigem login https e outros);
2-Bloqueia o resto da conexões 443 só para os micros_bloqueados;

[almalves]

Bom, no post anterior fui bloqueado de realizar a postagem do link do addon , cujo qual não foi homologado ainda, indico aos colegas que essa idéia surgiu no link http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=85276#p304795
Estive pensando que seria ideal unir as 2 idéias em 1 addon pois estamos tratando de problemas com o https
Acredito que seja uma dificuldade não só minha como de vários colegas de fórum :
1 - bloquear/liberar sites https ( através do cadastro de hostnames cujas resoluções de nome se alternam ou retornam diversos Ip´s)
2- bloquear ultrasurf para toda a rede (acredito que a solução já estaria completa com a dica citada acima)
Contudo vejo que ocorre algum tipo de conflito com as regras do iptables, ainda não identifiquei onde está ocorrendo o problema.
Outra duvida pertinente a esse assunto, o ultrasurf ficando restrito em toda a rede , alguém poderia me indicar qual a sintaxe correta para que uma faixa de ip´s (usuários) fiquem livres de qualquer tipo de bloqueio? (isso evitaria a lista branca https ) de sites como os de bancos, etc...
Aguardo respostas dos colegas...