[Resolvido] UltraSurf alguma dica?

JackL

@anet3:

me uma dica das regras criadas e a sequencia… se for possível
meu DNS uso 8.8.8.8 / 8.8.4.4 não te regra nenhuma no firewall nem sei como fazer essa regra

Não há segredo na criação de regras de firewall no pfSense. Basta compreender seu funcionamento e seguir algumas premissas básicas:

• 1. Crie um Alias contendo todos os sites HTTPS (do tipo host) que são lícitos (você quer liberar acesso);
• 2. Crie/Atualize um Alias contendo todos IPs da sua LAN que devem ter acesso irrestrito à web;
• 3. Crie/Atualize um Alias contendo todos os sites lícitos (você quer liberar acesso);
• 4. Em "Firewall->Rules->Lan", crie uma regra (encabeçando a lista de rules) onde você libera todas as conexões que sejam originadas pelos micros da direção (alias criado no passo 2);
• 5. Na sequencia, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTP criados acima  = com destino a porta TCP/80 (alias criado no passo 3)
• 6. Por fim, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTPS criados acima  = com destino a porta TCP/443 (alias criado no passo 1)

Pronto… Isso fará com que todos da diretoria/privilegiados navagem e façam quaisquer outras coisas na internet livremente. Quem não for da diretoria (não participar do respectivo alias), poderá navegar livremente nos sites inseridos no alias do passo 3 e em sites/sistemas HTTPS inseridos no passo 1.

Se uma conexão não for originada por um membro da diretoria, não for com destino à algum site HTTP lícito ou à algum site HTTPS inserido no passo 1, ela será automaticamente negada. Simples assim! ;)

Abraços!
Jack

anet3

ok vou tentar

anet3

valeu pela ajuda vou começar do 0 aqui e fazer como vc ensinou Obrigado…

anet3

essa regra no firewall tem que ser desativada?
Default allow LAN to any rule

marcelloc

@anet3:

essa regra no firewall tem que ser desativada?
Default allow LAN to any rule

depois de criar as outras regras que liberam o que você precisa sim.

felipeortega

:P Realmente Ultrasurf pode encomodar um pouco, mas este material pode lhe ajudar muito http://blog.rafaeltorrales.info/2012/01/24/proposed-ultrasurf-block-list/

E o rapaz foi caridoso ainda distribuiu toda lista de ranges, ip e portas que ultrasurf 11.03 se conecta em TXT http://www.rafaeltorrales.info/cp/captures/log-ips.txt

Porem, lembre-se que não é só de Ultrasurf que usuário atazana nossa vida hehehehe existem outras ferramentas, creio que seria interessante você apenas permitir somente o necessário pela porta 443 como sites de banco.

anet3

deu certo Muito Obrigado mesmo pela Ajuda.

mantunespb

@felipeortega:

:P Realmente Ultrasurf pode encomodar um pouco, mas este material pode lhe ajudar muito http://blog.rafaeltorrales.info/2012/01/24/proposed-ultrasurf-block-list/

E o rapaz foi caridoso ainda distribuiu toda lista de ranges, ip e portas que ultrasurf 11.03 se conecta em TXT http://www.rafaeltorrales.info/cp/captures/log-ips.txt

Porem, lembre-se que não é só de Ultrasurf que usuário atazana nossa vida hehehehe existem outras ferramentas, creio que seria interessante você apenas permitir somente o necessário pela porta 443 como sites de banco.

Tem como colocar isso numa tabela e range ?? o que tenho são esse daqui conforme Jackl

65.49.2.0/24
65.49.14.0/24
208.43.202.0/24
114.0.0.0/8
112.0.0.0/8
59.0.0.0/8
118.0.0.0/8
61.0.0.0/8
1.0.0.0/8
122.0.0.0/8
124.0.0.0/8
111.0.0.0/8

JackL

@mantunespb:

Tem como colocar isso numa tabela e range ?? o que tenho são esse daqui conforme Jackl

Você pode importar a lista (TXT) repassada pelo amigo felipeortega. Infelizmente o range antigo não serve mais para bloquear a nova versão do Ultrasurf.

Para importar a lista em um Alias, basta acessar no seu pfSense: https://ip_seu_pfsense/firewall_aliases_import.php

Abraços!
Jack

marcelloc

Outra forma de usar esta faixa de ips é via pfBlocker.

JackL

@marcelloc:

Outra forma de usar esta faixa de ips é via pfBlocker.

E provavelmente com um processamento bem menor!

Bom lembrete marcelloc… ;)

EDIT: Embora, eu continue pregando/indicando o bloqueio default de conexões da LAN com destino à porta TCP/443. Isso resolve quase 100% dos problemas do gênero! ;)

Abraços!
Jack

mantunespb

Marcelo,

Estou usando pfblocker, ele aceita o formato de como está o txt ?? <endereço>: <porta>, fiz a importação é ficou assim

Alias                               CIDRs  Packets Status
pfBlockerEurope                 8129         99
pfBlockerTopSpammers         14495 0
pfBlockerSocialNetworks 24 0
pfBlockerProxyAnomimos 3441 0
pfBlockerUltraSulf                 5 0</porta></endereço>

amaica

"Você pode importar a lista (TXT) repassada pelo amigo felipeortega. Infelizmente o range antigo não serve mais para bloquear a nova versão do Ultrasurf….."
Como se faz isso?

JackL

@amaica:

Como se faz isso?

http://forum.pfsense.org/index.php/topic,46965.msg246685.html#msg246685

marcelloc

@mantunespb:

Marcelo,

Estou usando pfblocker, ele aceita o formato de como está o txt ?? <endereço>: <porta>, fiz a importação é ficou assim

Alias                                CIDRs  Packets Status
pfBlockerEurope                 8129         99
pfBlockerTopSpammers         14495 0
pfBlockerSocialNetworks 24 0
pfBlockerProxyAnomimos 3441 0
pfBlockerUltraSulf                 5 0</porta></endereço>

O pfBlocker lê somente os ips, a porta ele ignora.