[Resolvido] UltraSurf alguma dica?
-
Muda os seus alias(ou cria um novo) de network para host e coloca por exemplo
www.google.com
www.gmail.com
mail.google.comQuem é o dns da sua rede?
Se for um ip externo ou o proprio firewall, não esqueça de criar a regra liberando acesso a ele. -
anet3,
Adicionalmente as dicas já postadas aqui lembre-se que: A ordem em que as regras aparecem faz toda a diferença no comportamento do seu firewall. As rules são interpretadas e “julgadas” sempre seqüencialmente, da primeira para a última regra. Isso quer dizer que se as condições da regra 1 forem satisfeitas, o pfSense a executa em detrimento das demais. Em função disso é comum colocarmos as regras mais “genéricas” encabeçando o nosso “plano de regras”. Para reordenar uma regra, selecione a rule em questão e então clique sob o botão (mão) na linha que você deseja que fique imediatamente abaixo da regra movida.
Não obstante, você não precisa criar uma regra negando tudo… Por default isso já funciona assim no pfSense. ;)
Abraços!
Jack -
me uma dica das regras criadas e a sequencia… se for possível
meu DNS uso 8.8.8.8 / 8.8.4.4 não te regra nenhuma no firewall nem sei como fazer essa regra
-
me uma dica das regras criadas e a sequencia… se for possível
meu DNS uso 8.8.8.8 / 8.8.4.4 não te regra nenhuma no firewall nem sei como fazer essa regraNão há segredo na criação de regras de firewall no pfSense. Basta compreender seu funcionamento e seguir algumas premissas básicas:
-
- Crie um Alias contendo todos os sites HTTPS (do tipo host) que são lícitos (você quer liberar acesso);
-
- Crie/Atualize um Alias contendo todos IPs da sua LAN que devem ter acesso irrestrito à web;
-
- Crie/Atualize um Alias contendo todos os sites lícitos (você quer liberar acesso);
-
- Em "Firewall->Rules->Lan", crie uma regra (encabeçando a lista de rules) onde você libera todas as conexões que sejam originadas pelos micros da direção (alias criado no passo 2);
-
- Na sequencia, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTP criados acima = com destino a porta TCP/80 (alias criado no passo 3)
-
- Por fim, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTPS criados acima = com destino a porta TCP/443 (alias criado no passo 1)
Pronto… Isso fará com que todos da diretoria/privilegiados navagem e façam quaisquer outras coisas na internet livremente. Quem não for da diretoria (não participar do respectivo alias), poderá navegar livremente nos sites inseridos no alias do passo 3 e em sites/sistemas HTTPS inseridos no passo 1.
Se uma conexão não for originada por um membro da diretoria, não for com destino à algum site HTTP lícito ou à algum site HTTPS inserido no passo 1, ela será automaticamente negada. Simples assim! ;)
Abraços!
Jack -
-
ok vou tentar
-
valeu pela ajuda vou começar do 0 aqui e fazer como vc ensinou Obrigado…
-
essa regra no firewall tem que ser desativada?
Default allow LAN to any rule -
essa regra no firewall tem que ser desativada?
Default allow LAN to any ruledepois de criar as outras regras que liberam o que você precisa sim.
-
:P Realmente Ultrasurf pode encomodar um pouco, mas este material pode lhe ajudar muito http://blog.rafaeltorrales.info/2012/01/24/proposed-ultrasurf-block-list/
E o rapaz foi caridoso ainda distribuiu toda lista de ranges, ip e portas que ultrasurf 11.03 se conecta em TXT http://www.rafaeltorrales.info/cp/captures/log-ips.txt
Porem, lembre-se que não é só de Ultrasurf que usuário atazana nossa vida hehehehe existem outras ferramentas, creio que seria interessante você apenas permitir somente o necessário pela porta 443 como sites de banco.
-
deu certo Muito Obrigado mesmo pela Ajuda.
-
:P Realmente Ultrasurf pode encomodar um pouco, mas este material pode lhe ajudar muito http://blog.rafaeltorrales.info/2012/01/24/proposed-ultrasurf-block-list/
E o rapaz foi caridoso ainda distribuiu toda lista de ranges, ip e portas que ultrasurf 11.03 se conecta em TXT http://www.rafaeltorrales.info/cp/captures/log-ips.txt
Porem, lembre-se que não é só de Ultrasurf que usuário atazana nossa vida hehehehe existem outras ferramentas, creio que seria interessante você apenas permitir somente o necessário pela porta 443 como sites de banco.
Tem como colocar isso numa tabela e range ?? o que tenho são esse daqui conforme Jackl
65.49.2.0/24 65.49.14.0/24 208.43.202.0/24 114.0.0.0/8 112.0.0.0/8 59.0.0.0/8 118.0.0.0/8 61.0.0.0/8 1.0.0.0/8 122.0.0.0/8 124.0.0.0/8 111.0.0.0/8 -
Tem como colocar isso numa tabela e range ?? o que tenho são esse daqui conforme Jackl
Você pode importar a lista (TXT) repassada pelo amigo felipeortega. Infelizmente o range antigo não serve mais para bloquear a nova versão do Ultrasurf.
Para importar a lista em um Alias, basta acessar no seu pfSense: https://ip_seu_pfsense/firewall_aliases_import.php
Abraços!
Jack -
Outra forma de usar esta faixa de ips é via pfBlocker.
-
Outra forma de usar esta faixa de ips é via pfBlocker.
E provavelmente com um processamento bem menor!
Bom lembrete marcelloc… ;)
EDIT: Embora, eu continue pregando/indicando o bloqueio default de conexões da LAN com destino à porta TCP/443. Isso resolve quase 100% dos problemas do gênero! ;)
Abraços!
Jack -
Marcelo,
Estou usando pfblocker, ele aceita o formato de como está o txt ?? <endereço>: <porta>, fiz a importação é ficou assim
Alias CIDRs Packets Status
pfBlockerEurope 8129 99
pfBlockerTopSpammers 14495 0
pfBlockerSocialNetworks 24 0
pfBlockerProxyAnomimos 3441 0
pfBlockerUltraSulf 5 0</porta></endereço> -
"Você pode importar a lista (TXT) repassada pelo amigo felipeortega. Infelizmente o range antigo não serve mais para bloquear a nova versão do Ultrasurf….."
Como se faz isso? -
-
Marcelo,
Estou usando pfblocker, ele aceita o formato de como está o txt ?? <endereço>: <porta>, fiz a importação é ficou assim
Alias CIDRs Packets Status
pfBlockerEurope 8129 99
pfBlockerTopSpammers 14495 0
pfBlockerSocialNetworks 24 0
pfBlockerProxyAnomimos 3441 0
pfBlockerUltraSulf 5 0</porta></endereço>O pfBlocker lê somente os ips, a porta ele ignora.
