Como bloquear puerto 443 y permitir solo paginas como las de los bancos?

guss28

Deseo bloquear el puerto 443 en la parte de rules, para evirtar que programas como el ultrasurf puedan saltarlo, pero a su vez deseo que paginas como gmai, hotmail, paginas gubernamentales y de banco, puedan tener acceso, en realidad soy nuevo con pfsense y no se como hacer esto. Si alguien me pudiera ayudar se lo agradeceria enormemente..!

Poseo instalado Pfsense 1.2.3 con squid, Lightsquid, squidGuard en modo transparente..

bellera

Mira en la configuración web de squidGuard si se puede activar in-addr

http://www.squidguard.org/Doc/extended.html
Not allowing IP adresses

Sirve para denegar la navegación por IP, que es lo que hace UltraSurf y otros.

De todas maneras piensa que esto sólo sirve si no trabajas en modo transparente. Un proxy en modo transparente no puede filtrar conexiones https. En Documentación, arriba:

¿Proxy transparente?
Muy cómodo, pero… no gestiona ni usuarios ni https...
http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Concepts_of_Interception_Caching (en inglés)

bellera

Otra solución. Listado de direcciones IP de UltraSurf, a poner en un alias y denegar como destino:

http://goo.gl/SRtdg

¡Gracias a mi compañero Joan De Gracia!

Con pfSense 2.0 y Layer 7 seguramente hay manera de detectar a UltraSurf…

En la dirección que doy, Joan explica cómo hacerlo con IPTABLES (Linux). Puede verse la cadena hexadecimal a controlar.

guss28

@bellera:

Otra solución. Listado de direcciones IP de UltraSurf, a poner en un alias y denegar como destino:

http://goo.gl/SRtdg

¡Gracias a mi compañero Joan De Gracia!

Con pfSense 2.0 y Layer 7 seguramente hay manera de detectar a UltraSurf…

En la dirección que doy, Joan explica cómo hacerlo con IPTABLES (Linux). Puede verse la cadena hexadecimal a controlar.

Disculpe mi ignorancia, pero me puede decir como lo bloquearía de esta forma?? Cuales serian los pasos..

bellera

¿Preguntas por el alias o por pfSense 2.0 y Layer 7?

guss28

@bellera:

¿Preguntas por el alias o por pfSense 2.0 y Layer 7?

Por el alias, de verdad e tratado de ver como se hace y no e podido.. Si me pudieras explicar paso a paso se lo agradecería.

guss28

Lo estoy intentando de esta manera agregando ip por ip de la lista http://goo.gl/SRtdg
Aqui le dejo una captura a ver si es asi..

http://dl.dropbox.com/u/2468973/prueba/ultrasurf.JPG

bellera

Vas bien, para las IPs sueltas.

De hecho, con la información que tienes hay que hacer dos alias: uno de networks y el otro de hosts. Es una matada pero es así…

Nótese que para los hosts sólo será necesario copiar los que tengan puertos "bajos" (.53, .80, .443) si no estás permitiendo ir a puertos "altos".

ultrasurf_networks
67.15.183.0/25
67.15.100.192/26
67.15.151.64/26
64.62.138.0/25
65.49.2.0/24

ultrasurf_hosts
1.160.195.50
110.138.146.30
111.240.130.211
111.242.14.212
111.242.151.134
111.243.226.99
111.243.231.198
111.243.234.215
…
...
...
93.93.74.42
94.245.115.205
94.245.117.45
95.100.178.110
99.97.99.36

Espero haberme explicado...

guss28

Disculpe mi insistencia pero hice como usted me dijo y bloquee todas las ips con el puerto 443 que es ese el q esta abierto pero igual me sigue saltando y entra con esta ip 65.49.14.87
Aqui estan unas capturas de como hice para bolquear las ips

http://dl.dropbox.com/u/2468973/prueba/ultrasur1.JPG

http://dl.dropbox.com/u/2468973/prueba/ultrasur2.JPG

De evrdad no se si es que estoy haciendo algo mal..

bellera

Una vez creado un alias hay que emplearlo en las reglas.

Tendrás que poner reglas de bloqueo en LAN que sean:

Acción - Protocolo - IP origen - Puerto origen - IP destino - Puerto destino - Puerta
x * * * ultrasurf01 * *
x * * * ultrasurf02 * *
x * * * ultrasurf03 * *
x * * * ultrasurf04 * *
x * * * ultrasurf05 * *

Y tienen que estar por delante de las otras, para asegurar que se deniega.

Ten presente que tienes a squid en modo transparente. Esto quiere decir que toda petición con puerto de destino 80 es desviada incondicionalmente la proxy.

Si tuvieras que aplicar alguna regla de bloqueo para el puerto de destino 80 en este caso tendrías que hacerlo (excepcionalmente) en la WAN. Piensa en el cortafuegos como una casa con varias puertas. Lo lógico es bloquear en el momento de entrar en el cortafuegos, no en el momento de salir. Este caso sería una excepción.

Por cierto, en los alias no veo las subredes de Ultrareach, http://www.ultrareach.com/

Bueno, espero haberme explicado.

guss28

Hice lo que me dijo y al parecer los esta bloqueando con éxito..
De verdad muchísimas gracias…!!

bellera

¡Fantástico! ¡De nada!