Ayuda para bloquear Ultrasurf



  • Buenas amigos este es mi primer post, soy nuevo con pfsense apena llevos dos días que instale el pfsense y lo logre configura y anda muy bien.

    Necesito bloquear el ultrasurf, estuve gogleando y alguien en mikrotic lo bloqueo de esta manera:

    "La regla es simple. Redirigir el puerto 443 utilizados por Ultrasurf, 3128 para el puerto utilizado por proxy web. Si no usas proxy web, simplemente redirigir a cualquier puerto no utilizado.

    Pero hay muchos inconvenientes!

    La puerta del 443, como bien sabemos, se utiliza para el acceso seguro SSL (https). Y muchos sitios bancarios, correo electrónico, etc, no funcionará tan bien.

    En este caso también debe crear una lista de correo a otro, como una excepción a la regla. Para crear la lista es simple. Utilice el comando "cmd" ventanas e intente hacer ping a los sitios que desea poner en la lista de excepciones.

    Por ejemplo, para saber la IP del sitio real del banco, escriba "ping www.realsecureweb.com.br "listo, usted tendrá la IP del sitio.

    Para crear una lista, vaya a: / firewall IP-dirección de la lista, agregar las ips de los sitios web que quiere poner en la "lista blanca" y la llamada, por ejemplo, "https" (utilizado en el ejemplo siguiente).

    Con la lista blanca creado, vaya a la regla que elimina ultrasurf.

    Código:
      / IP NAT firewall
    dstnat añadir la cadena = src-address = = 10.20.30.0/24 protocolo tcp dst-port = 443 = acción de redirigir a los puertos = 3128 dst-lista de direcciones-=! Https comment = "Redirigir tráfico del puerto 443 (seguro) en el el puerto del servidor proxy "disable = no

    Comentarios

    1. La expresión en la regla de "dst-tratar-list =! Https", dice la redirección no se debe aplicar a las direcciones de destino en la lista "https" que cree.

    2. Esta regla debe ser colocado antes de la regla de que las acciones de la conexión a Internet (disfraces), de lo contrario no tendrá efecto.

    3. La gama "10.20.30.0/24" es mi red, sustituir si es necesario.

    4. Prueba de que la norma entró en vigor tratando de conectarse a través de ultrasurf. Curiosamente, mientras ultrasurf está abierto, el (a) lindo (a) no será capaz de navegar."

    fuente: http://under-linux.org/f212/bloqueando-ultrasurf-9-98-no-mikrotik-2-9-27-a-142210/

    Me gustaría saber si esto lo puedo hacer en pfsense y como se haría?

    ah! otro lo bloqueo así:
    "Simplemente sí bloquea el Puerto 33 190 y 8080 y El ya no hay problema Tienen ultrasurf El No Se Conecta"

    Sin mas nada que agregar espero me puedan ayudar a bloquear este programa…!



  • Este programa y otros semejantes intentan conectarse a direcciones IP que hacen de proxy en puertos como el 22, 80, 443, 8080, 3128…

    La manera de bloquear estos programas es:

    • Autorizar como destino sólo los puertos que sean realmente imprescindibles.
    • Obligar a navegar usando un proxy. Si el proxy es transparente entonces no se podrá emplear para https. En este caso habrá que confeccionar una lista blanca de destinos https para autorizarla com destinos directos en el cortafuegos. Entiendo que esto es lo que explican con el Mikrotik.
    • Denegar en el proxy (normalmente squid con squidGuard) cualquier destino que sea por dirección numérica (cláusula in_addr de squidGuard), http://www.squidguard.org/Doc/extended.html

    No sé si el configurador web de squid y squidGuard permiten el ajuste de in_addr. Tengo a squid fuera de pfSense (y en modo no transparente) para tener más flexibilidad/potencia... A ver si alguien que tenga a ambos puede decirte si este ajuste es posible.


Locked