[Resolvido] UltraSurf alguma dica?
-
me uma dica das regras criadas e a sequencia… se for possível
meu DNS uso 8.8.8.8 / 8.8.4.4 não te regra nenhuma no firewall nem sei como fazer essa regraNão há segredo na criação de regras de firewall no pfSense. Basta compreender seu funcionamento e seguir algumas premissas básicas:
-
- Crie um Alias contendo todos os sites HTTPS (do tipo host) que são lícitos (você quer liberar acesso);
-
- Crie/Atualize um Alias contendo todos IPs da sua LAN que devem ter acesso irrestrito à web;
-
- Crie/Atualize um Alias contendo todos os sites lícitos (você quer liberar acesso);
-
- Em "Firewall->Rules->Lan", crie uma regra (encabeçando a lista de rules) onde você libera todas as conexões que sejam originadas pelos micros da direção (alias criado no passo 2);
-
- Na sequencia, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTP criados acima = com destino a porta TCP/80 (alias criado no passo 3)
-
- Por fim, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTPS criados acima = com destino a porta TCP/443 (alias criado no passo 1)
Pronto… Isso fará com que todos da diretoria/privilegiados navagem e façam quaisquer outras coisas na internet livremente. Quem não for da diretoria (não participar do respectivo alias), poderá navegar livremente nos sites inseridos no alias do passo 3 e em sites/sistemas HTTPS inseridos no passo 1.
Se uma conexão não for originada por um membro da diretoria, não for com destino à algum site HTTP lícito ou à algum site HTTPS inserido no passo 1, ela será automaticamente negada. Simples assim! ;)
Abraços!
Jack -
-
ok vou tentar
-
valeu pela ajuda vou começar do 0 aqui e fazer como vc ensinou Obrigado…
-
essa regra no firewall tem que ser desativada?
Default allow LAN to any rule -
essa regra no firewall tem que ser desativada?
Default allow LAN to any ruledepois de criar as outras regras que liberam o que você precisa sim.
-
:P Realmente Ultrasurf pode encomodar um pouco, mas este material pode lhe ajudar muito http://blog.rafaeltorrales.info/2012/01/24/proposed-ultrasurf-block-list/
E o rapaz foi caridoso ainda distribuiu toda lista de ranges, ip e portas que ultrasurf 11.03 se conecta em TXT http://www.rafaeltorrales.info/cp/captures/log-ips.txt
Porem, lembre-se que não é só de Ultrasurf que usuário atazana nossa vida hehehehe existem outras ferramentas, creio que seria interessante você apenas permitir somente o necessário pela porta 443 como sites de banco.
-
deu certo Muito Obrigado mesmo pela Ajuda.
-
:P Realmente Ultrasurf pode encomodar um pouco, mas este material pode lhe ajudar muito http://blog.rafaeltorrales.info/2012/01/24/proposed-ultrasurf-block-list/
E o rapaz foi caridoso ainda distribuiu toda lista de ranges, ip e portas que ultrasurf 11.03 se conecta em TXT http://www.rafaeltorrales.info/cp/captures/log-ips.txt
Porem, lembre-se que não é só de Ultrasurf que usuário atazana nossa vida hehehehe existem outras ferramentas, creio que seria interessante você apenas permitir somente o necessário pela porta 443 como sites de banco.
Tem como colocar isso numa tabela e range ?? o que tenho são esse daqui conforme Jackl
65.49.2.0/24 65.49.14.0/24 208.43.202.0/24 114.0.0.0/8 112.0.0.0/8 59.0.0.0/8 118.0.0.0/8 61.0.0.0/8 1.0.0.0/8 122.0.0.0/8 124.0.0.0/8 111.0.0.0/8
-
Tem como colocar isso numa tabela e range ?? o que tenho são esse daqui conforme Jackl
Você pode importar a lista (TXT) repassada pelo amigo felipeortega. Infelizmente o range antigo não serve mais para bloquear a nova versão do Ultrasurf.
Para importar a lista em um Alias, basta acessar no seu pfSense: https://ip_seu_pfsense/firewall_aliases_import.php
Abraços!
Jack -
Outra forma de usar esta faixa de ips é via pfBlocker.
-
Outra forma de usar esta faixa de ips é via pfBlocker.
E provavelmente com um processamento bem menor!
Bom lembrete marcelloc… ;)
EDIT: Embora, eu continue pregando/indicando o bloqueio default de conexões da LAN com destino à porta TCP/443. Isso resolve quase 100% dos problemas do gênero! ;)
Abraços!
Jack -
Marcelo,
Estou usando pfblocker, ele aceita o formato de como está o txt ?? <endereço>: <porta>, fiz a importação é ficou assim
Alias CIDRs Packets Status
pfBlockerEurope 8129 99
pfBlockerTopSpammers 14495 0
pfBlockerSocialNetworks 24 0
pfBlockerProxyAnomimos 3441 0
pfBlockerUltraSulf 5 0</porta></endereço> -
"Você pode importar a lista (TXT) repassada pelo amigo felipeortega. Infelizmente o range antigo não serve mais para bloquear a nova versão do Ultrasurf….."
Como se faz isso? -
-
Marcelo,
Estou usando pfblocker, ele aceita o formato de como está o txt ?? <endereço>: <porta>, fiz a importação é ficou assim
Alias CIDRs Packets Status
pfBlockerEurope 8129 99
pfBlockerTopSpammers 14495 0
pfBlockerSocialNetworks 24 0
pfBlockerProxyAnomimos 3441 0
pfBlockerUltraSulf 5 0</porta></endereço>O pfBlocker lê somente os ips, a porta ele ignora.