Bloqueando o cliente que tenta usar ultrasurf por x minutos
-
Valeu Marcelo, obrigado pela dica.
Ainda não testei no pfsense pq já instalei no meu cliente e não sei porque raios, perdi acesso à ele desde ontem.
Assim que conseguir ir até o local já vou corrigir oque ficou faltando e dar um retorno aqui.
Seria até interessante adicionar essa informação no primeiro post ;) -
marcelloc, boa tarde!
Fiz essa implementação no meu pfsense 2.1, porém ao realizar o teste, o cliente não é bloqueado, apesar de ser identificado pelo log do firewall como pass para um dos ips do ultrasurf.
Estou com proxy transparent, e já coloquei a opção citada acima.
Não sei mais por onde procurar.
Se puder ajudar, agradeço.
Forte abraço.
Riroxi
-
Não sei mais por onde procurar.
No tcpdump.
Se o proxy não intercepta o ip e o firewall tem o alias configurado com a regra certa e o limite de conexões, é pra funcionar.
-
Se o proxy não intercepta o ip e o firewall tem o alias configurado com a regra certa e o limite de conexões, é pra funcionar.
Vou verificar o tcpdump.
A regra do firewall funciona, pois o limitador é aplicado.
-
Em diagnostic tables é possível ver os ips bloqueados.
-
Em diagnostic tables é possível ver os ips bloqueados.
Então, não aparece nenhum. E a navegação está fluindo pelo ultrasurf sem problemas.
:(
-
Então, não aparece nenhum. E a navegação está fluindo pelo ultrasurf sem problemas.
Tenta refazer o procedimento então. Preste atenção principalmente na regra da lan que tem acão "allow" no lugar de "deny"
-
Marcelloc, reparei que mesmo quando o pfsense loga um ou outro pacote pela regra, outros ainda passam, evitando assim o trigger, acredito eu.
Fiz um teste mandando logar tudo do IP teste, e vários hosts do ultrasurf que não estão na lista original apareceram. Bloquei na mão aqui mais de 50 que não estavam, mas mesmo assim o trigger não ativa.
Notei que algumas vezes o log não capta o pacote do alias, creio que justamente pelo programa ter encontrado um host diferente do que está cadastrado.
Mas mesmo quando encontra, não ativa o trigger, pelo menos não envia a tabela.
Grato!
-
Marcelloc, reparei que mesmo quando o pfsense loga um ou outro pacote pela regra, outros ainda passam, evitando assim o trigger, acredito eu.
Sua regra(ou a posição dela) está errada. O fato de logar já indica que passou trafego suficiente para atingir o limite de conexões definido para bloquear.
EDIT: acabei de testar no pfsense 2.1 e o comportamento parece ser um pouco diferente.
altere o paramentro Maximum state entries per host para vazio no lugar de 1
Aqui a tabela virusprot foi preenchida normalmente após a alteração.
-
EDIT: acabei de testar no pfsense 2.1 e o comportamento parece ser um pouco diferente.
altere o paramentro Maximum state entries per host para vazio no lugar de 1
Aqui a tabela virusprot foi preenchida normalmente após a alteração.
Perfeito. Funcionou.
Reparei uma coisa que já tinha citado. Mesmo com a regra funcionando, a gama de hosts do ultrasurf é tão grande que no último teste que fiz um client não usou a lista conhecida para acessar, logo não apareceu no virusprot.
Você tem alguma lista mais recente? Procurei algumas horas na net, mas não achei nada que fosse útil.
Outro detalhe, como tirar um client da lista, visto que o "x" que tem ali por algum motivo não é clicável lol
Abraços e obrigado.
-
Outro detalhe, como tirar um client da lista, visto que o "x" que tem ali por algum motivo não é clicável lol
A alteração do schedule limpa a lista a cada x minutos conforme você configurou.
Você pode usar o X ou limpar a lista completa.
-
Bom dia!
Prezado Riroxi,
Pelo que pude verificar, logo a sua primeira regra do Firewall, está liberando todo trafego na porta 443.
Justamente esta porta é utilizada para a conexão ultrasurf.
Tente ajustar essa regra do Firewall e faça os testes.Abraço!
