Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloqueo Ultrasurf

    Scheduled Pinned Locked Moved Español
    20 Posts 7 Posters 29.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Guillermo G.
      last edited by

      Que tal como estan,

      bueno esa es mi duda, ya que mis usuarios se saltan mi proxy por medio de este software, lo que he investigado es que usa el puerto 9666,

      saludos  ;D

      1 Reply Last reply Reply Quote 0
      • G
        Guillermo G.
        last edited by

        Bueno sigo en lo mismo,  ???

        he leido por todos lados que es un verdadero dolor de cabeza bloquearlo (por ejemplo con Ipcop), bueno la posible solucion de ellos, simplemente no funciona con Pfsense, la cual es, el Ultrasurf pasa puerto 443 de https (segun netstat, usa el rango de 1100-1400 para realizar la conexion)
        es bloquear ese trafico que va precisamente al puerto 443 que no cumpla el protocolo HTTPS no funcione, y bueno al hacerlo simplemente ya no funciona, pero tambien las conexion para logearse via web a hotmail y otras fallan, ya que utilizan el mismo rango (1100-1500 aleatoriamente).

        Mi posible solucion seria que solo el trafico (https) que salga del navegador solo funcione,

        Navegador –-->> 443

        espero que alguien me ayude,  saludos

        1 Reply Last reply Reply Quote 0
        • G
          Guillermo G.
          last edited by

          Posible solucion?

          http://amperis.blogspot.com/2008/11/bloquear-ultrasurf.html

          Vista la imposibilidad de bloquear todos los proxys habidos y por haber la única solución es cerrar todo el trafico 443. De esta forma el ultrasurf no navega. El problema es que todas las páginas legítimas que utilizan 443 tampoco funcionan. Sólo me queda añadir a mi iptables bajo demanda las direcciones IP de las páginas que utilizan 443. Si alguien no entra en una pagina SSL que habrá incidencia y que sea el administrador que añada la dirección IP de esa página SSL.

          Alguien sabe como agregar estas paginas (hotmail, gmail, yahoo) en whitelist, para que solamente estas paginas pasen, ya que no quiero migrar todos mis proxies a otra plataforma en fin, ya que el pfsense siempre me ha ido super  ;)

          saludos

          1 Reply Last reply Reply Quote 0
          • G
            Guillermo G.
            last edited by

            Bueno se ve que nadie ha presentado este problema,  ;D

            En fin una solucion a medias fue:

            Advanced Options (en la regla para accesar al puerto 443)

            5
            Simultaneous client connection limit

            5
            Maximum state entries per host

            5/
            Maximum new connections / per second

            20
            State Timeout in seconds

            Solucion a medias pero funciona ya no conecta y marca error de conexion!!

            saludos!

            1 Reply Last reply Reply Quote 0
            • G
              gerar2
              last edited by

              Probe esta configuracion, en realidad se bloqueo el ultrasurf, pero me dio problemas con gmail
              me han dicho que con iptables, se puede hacer
              denegar el puerto, y solo aceptar el puerto 443 para las conexiones que desemos(gmail)

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                denegar el puerto, y solo aceptar el puerto 443 para las conexiones que desemos(gmail)

                Pues eso es fácil de hacer con una regla…

                1. Haz un nslookup de gmail.com, mail.gmail.com o cualquier otra variante que empleen tus usuarios.

                2. Ve a http://ws.arin.net/whois para averiguar el rango completo de IPs empleado por los servicions de gmail.

                3. Crea un alias con todos los rangos de IPs para gmail…

                4. Crea una regla que autorice deniegue como destino dicho alias y puerto 443. Asegúrate que no tienes ninguna otra regla que deje salir hacia 443. No es necesaria, en principio, una regla de prohibición.

                IPTABLES es parte de Linux, http://es.wikipedia.org/wiki/Netfilter/iptables
                Esto es PF (Packet Filter), parte de los sistemas BSD (UNIX libre).

                http://en.wikipedia.org/wiki/Category:Firewall_software

                Saludos,

                Josep Pujadas

                1 Reply Last reply Reply Quote 0
                • G
                  gerar2
                  last edited by

                  Hola Sñr. Bellera, no se como hacer la regla, porfavor podria darme un ejemplo

                  1 Reply Last reply Reply Quote 0
                  • belleraB
                    bellera
                    last edited by

                    En LAN:

                    x TCP * *  ultrasurf  443  *

                    asumiendo que ultrasurf es el alias que contiene las IPs de http://www.ultrareach.com/

                    Más sobre el tema… Al parecer emplean como puerto de origen 9666, http://www.ultrareach.com/usercenter_en.htm#conf_port . Si es así, no hace falta ni el alias. Una regla con:

                    x TCP * 9666 * * *

                    o bien

                    x TCP * 9666 * 443 *

                    debería bloquear este servicio.

                    1 Reply Last reply Reply Quote 0
                    • G
                      gerar2
                      last edited by

                      Hola Sñr. Bellera implemente la regla pero el  >:( Programa arranco!! y hasta se pudo navegar!!

                      1 Reply Last reply Reply Quote 0
                      • belleraB
                        bellera
                        last edited by

                        ¿Cuál de ellas? Dije tres distintas.

                        Postea el resultado de netstat mientras la máquina esté empleando ultrasurf, a ver realmente qué conexiones hace…

                        1 Reply Last reply Reply Quote 0
                        • G
                          gerar2
                          last edited by

                          x TCP * *  ultrasurf  443  * 
                          esta no la hice, ya que me imagino que en ultrasurf tenia que agregar en Aliases las direcciones ip a la que conecta el ultrasurf
                          pero he leido que son mas de 100 proxys desconocidos

                          1 Reply Last reply Reply Quote 0
                          • belleraB
                            bellera
                            last edited by

                            Postea el resultado de netstat mientras la máquina esté empleando ultrasurf, a ver realmente qué conexiones hace…

                            1 Reply Last reply Reply Quote 0
                            • L
                              leoalfa09
                              last edited by

                              Otra opcion que podrias usar por el momento dependiendo de la cantidad de trafico que haya en tu red hacia sitios web seguros es crear una regla en tu lan bloqueando completamente el puerto https que es el que al parecer usa el ultrasurf y luego crear un alias con las ips de las direcciones que se deberian acceder como por ejemplo bancos  y crear otra regla que permita a este alias usar trafico https en tu lan…..

                              1 Reply Last reply Reply Quote 0
                              • G
                                gerar2
                                last edited by

                                @leoalfa09:

                                Otra opcion que podrias usar por el momento dependiendo de la cantidad de trafico que haya en tu red hacia sitios web seguros es crear una regla en tu lan bloqueando completamente el puerto https que es el que al parecer usa el ultrasurf y luego crear un alias con las ips de las direcciones que se deberian acceder como por ejemplo bancos  y crear otra regla que permita a este alias usar trafico https en tu lan…..

                                amigo da un ejemplo de la configuracion, tengo una idea que lo podemos hacer de esta forma
                                hacemos un nslookup con la direccion web, nos da la ip del servidor
                                pero como hago la regla.

                                1 Reply Last reply Reply Quote 0
                                • belleraB
                                  bellera
                                  last edited by

                                  he leido que son mas de 100 proxys desconocidos

                                  Con la IP no harás nada si es como dijiste.

                                  Postea el resultado de netstat mientras la máquina esté empleando ultrasurf, a ver realmente qué conexiones hace…

                                  Si no dices cómo se hace la conexión (puertos) es imposible ayudarte.

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gerar2
                                    last edited by

                                    el problema es el siguiente, yo tengo implementado un bloqueo de puertos y solo tengo los conocidos, por ejemplo 80, 110, 443, 53, 8080, etc, pero ultrasurf crea una conexion ssl que pasa por medio de del puerto 443
                                    en este caso si tengo todos los demas puertos cerrados no puedo conectarce por el 9666 o algo asi ley

                                    1 Reply Last reply Reply Quote 0
                                    • F
                                      furthur
                                      last edited by

                                      Se me ocurre ka idea de bloquear el programa al bloquear el navegador ya que ultra surf trabaja solo con IE existe la manera de hacerlo??? asi despues de todo la mayoria en mi istitucion solo trabaja con mozilla firefox espero respuesta mientras tanto investigare por mi cuenta

                                      1 Reply Last reply Reply Quote 0
                                      • L
                                        leoalfa09
                                        last edited by

                                        Permite solamente las ips de las paginas que tu red deberia accesar por el protoclo https por medio de un alias y rules en el pfsense esto sesolveria tu problema.

                                        1 Reply Last reply Reply Quote 0
                                        • B
                                          badre
                                          last edited by

                                          de que sitio puedo otener ultrasurf en español???

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dementekuatiko
                                            last edited by

                                            @Guillermo:

                                            Que tal como estan,

                                            bueno esa es mi duda, ya que mis usuarios se saltan mi proxy por medio de este software, lo que he investigado es que usa el puerto 9666,

                                            saludos  ;D

                                            Estimado
                                            me ayudo esta pagina a solucionar mi problema

                                            http://eltipodeinformatica.blogspot.com/2009/11/saltando-restricciones-de-proxies-con.html

                                            saludos

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.