Como bloquear puerto 443 y permitir solo paginas como las de los bancos?



  • Deseo bloquear el puerto 443 en la parte de rules, para evirtar que programas como el ultrasurf puedan saltarlo, pero a su vez deseo que paginas como gmai, hotmail, paginas gubernamentales y de banco, puedan tener acceso, en realidad soy nuevo con pfsense y no se como hacer esto. Si alguien me pudiera ayudar se lo agradeceria enormemente..!

    Poseo instalado Pfsense 1.2.3 con squid, Lightsquid, squidGuard en modo transparente..



  • Mira en la configuración web de squidGuard si se puede activar in-addr

    http://www.squidguard.org/Doc/extended.html
    Not allowing IP adresses

    Sirve para denegar la navegación por IP, que es lo que hace UltraSurf y otros.

    De todas maneras piensa que esto sólo sirve si no trabajas en modo transparente. Un proxy en modo transparente no puede filtrar conexiones https. En Documentación, arriba:

    ¿Proxy transparente?
    Muy cómodo, pero… no gestiona ni usuarios ni https...
    http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Concepts_of_Interception_Caching (en inglés)



  • Otra solución. Listado de direcciones IP de UltraSurf, a poner en un alias y denegar como destino:

    http://goo.gl/SRtdg

    ¡Gracias a mi compañero Joan De Gracia!

    Con pfSense 2.0 y Layer 7 seguramente hay manera de detectar a UltraSurf…

    En la dirección que doy, Joan explica cómo hacerlo con IPTABLES (Linux). Puede verse la cadena hexadecimal a controlar.



  • @bellera:

    Otra solución. Listado de direcciones IP de UltraSurf, a poner en un alias y denegar como destino:

    http://goo.gl/SRtdg

    ¡Gracias a mi compañero Joan De Gracia!

    Con pfSense 2.0 y Layer 7 seguramente hay manera de detectar a UltraSurf…

    En la dirección que doy, Joan explica cómo hacerlo con IPTABLES (Linux). Puede verse la cadena hexadecimal a controlar.

    Disculpe mi ignorancia, pero me puede decir como lo bloquearía de esta forma?? Cuales serian los pasos..



  • ¿Preguntas por el alias o por pfSense 2.0 y Layer 7?



  • @bellera:

    ¿Preguntas por el alias o por pfSense 2.0 y Layer 7?

    Por el alias, de verdad e tratado de ver como se hace y no e podido.. Si me pudieras explicar paso a paso se lo agradecería.



  • Lo estoy intentando de esta manera agregando ip por ip de la lista http://goo.gl/SRtdg
    Aqui le dejo una captura a ver si es asi..

    http://dl.dropbox.com/u/2468973/prueba/ultrasurf.JPG



  • Vas bien, para las IPs sueltas.

    De hecho, con la información que tienes hay que hacer dos alias: uno de networks y el otro de hosts. Es una matada pero es así…

    Nótese que para los hosts sólo será necesario copiar los que tengan puertos "bajos" (.53, .80, .443) si no estás permitiendo ir a puertos "altos".

    ultrasurf_networks
    67.15.183.0/25
    67.15.100.192/26
    67.15.151.64/26
    64.62.138.0/25
    65.49.2.0/24

    ultrasurf_hosts
    1.160.195.50
    110.138.146.30
    111.240.130.211
    111.242.14.212
    111.242.151.134
    111.243.226.99
    111.243.231.198
    111.243.234.215

    ...
    ...
    93.93.74.42
    94.245.115.205
    94.245.117.45
    95.100.178.110
    99.97.99.36

    Espero haberme explicado...



  • Disculpe mi insistencia pero hice como usted me dijo y bloquee todas las ips con el puerto 443 que es ese el q esta abierto pero igual me sigue saltando y entra con esta ip 65.49.14.87
    Aqui estan unas capturas de como hice para bolquear las ips

    http://dl.dropbox.com/u/2468973/prueba/ultrasur1.JPG

    http://dl.dropbox.com/u/2468973/prueba/ultrasur2.JPG

    De evrdad no se si es que estoy haciendo algo mal..



  • Una vez creado un alias hay que emplearlo en las reglas.

    Tendrás que poner reglas de bloqueo en LAN que sean:

    Acción - Protocolo - IP origen - Puerto origen - IP destino - Puerto destino - Puerta
    x * * * ultrasurf01 * *
    x * * * ultrasurf02 * *
    x * * * ultrasurf03 * *
    x * * * ultrasurf04 * *
    x * * * ultrasurf05 * *

    Y tienen que estar por delante de las otras, para asegurar que se deniega.

    Ten presente que tienes a squid en modo transparente. Esto quiere decir que toda petición con puerto de destino 80 es desviada incondicionalmente la proxy.

    Si tuvieras que aplicar alguna regla de bloqueo para el puerto de destino 80 en este caso tendrías que hacerlo (excepcionalmente) en la WAN. Piensa en el cortafuegos como una casa con varias puertas. Lo lógico es bloquear en el momento de entrar en el cortafuegos, no en el momento de salir. Este caso sería una excepción.

    Por cierto, en los alias no veo las subredes de Ultrareach, http://www.ultrareach.com/

    Bueno, espero haberme explicado.



  • Hice lo que me dijo y al parecer los esta bloqueando con éxito..
    De verdad muchísimas gracias…!!



  • ¡Fantástico! ¡De nada!


Log in to reply