[Resolvido] UltraSurf alguma dica?
-
UltraSurf alguma dica?
Configurei o meu pfsense bloqueando os usuarios via aliases e regras no firewall
Criei um Aliases com alguns ips que libera full a internet.
Criei outro Aliases com as Networks de sites na porta 443 tipo BB gmail etc…
resumindo ele libera somente os sites que liberei o ip no Aliases...
Mais o ultra Surf continua passando...
Minhas regras
-
-
- LAN Address 80 * * Anti-Lockout Rule
-
-
libipsFULL * * * * none liberando ips full
-
LAN net * sitesLibe * * none sites liberados
-
LAN net * email * * none liberando gmail
TCP LAN net * * 443 (HTTPS) * none reject https
TCP LAN net * * * * none bloqueio toda rede
- LAN net * * * * none Default allow LAN to any rule quando tiro essa regra funciona
-
-
Leia tal tutorial:
http://www.nextsense.com.br/blog/archives/866 :)
Grato!
-
Você esta bloqueando somente tcp.
O ultrasurf deve estar passando por algum outro protocolo, por exemplo udp.
O tutorial que o vina postou tem alguns passos a mais para você configurar.
-
Se você quer bloquear o UltraSurf 11.03, siga este outro post: http://forum.pfsense.org/index.php/topic,43389.msg224609.html#msg224609
Abraços!
Jack -
Muito bom.. tem como vc colocar em txt os ip e portas ?? eu agradeço.
-
Não está dando certo acho que tem alguma coisa errada no meu firewall ou algum ip que libero para o Gmail ta deixando passar o ultra surf.
quando eu bloqueio toda rede na regra BLOQUEIO TODA REDE para ANY aí da certo, mais alguns sites deixam de funcionar como gmail etc.
-
Porque você precisa liberar todo o acesso fora o ultrasurf?
Desta forma você ainda deixa disponível uma infinidade de ferramentas "anti-proxy"
-
vc está falando dessa regra? * LAN net * * * * none Default allow LAN to any rule
quando tiro ela sites como gmail nao funciona. mesmo sendo liberado na regra acima.
-
aqui preciso liberar acesso full para alguns IPS… como o meu 192.168.1.4 etc...
Liberar google para quem nao esta no acesso full.
Liberar alguns sites para quem nao esta no acesso full.
bloquear todas as páginas da net para os ips que nao estão no acesso full. -
Como esta o seu alias de sites liberados?
Para anexar uma imagem no post, basta clicar no advanced options.
-
telas
![Captura de tela inteira 06032012 114537.jpg](/public/imported_attachments/1/Captura de tela inteira 06032012 114537.jpg)
![Captura de tela inteira 06032012 114537.jpg_thumb](/public/imported_attachments/1/Captura de tela inteira 06032012 114537.jpg_thumb)
![Captura de tela inteira 06032012 114550.jpg](/public/imported_attachments/1/Captura de tela inteira 06032012 114550.jpg)
![Captura de tela inteira 06032012 114550.jpg_thumb](/public/imported_attachments/1/Captura de tela inteira 06032012 114550.jpg_thumb)
![Captura de tela inteira 06032012 114601.jpg](/public/imported_attachments/1/Captura de tela inteira 06032012 114601.jpg)
![Captura de tela inteira 06032012 114601.jpg_thumb](/public/imported_attachments/1/Captura de tela inteira 06032012 114601.jpg_thumb) -
Muda os seus alias(ou cria um novo) de network para host e coloca por exemplo
www.google.com
www.gmail.com
mail.google.comQuem é o dns da sua rede?
Se for um ip externo ou o proprio firewall, não esqueça de criar a regra liberando acesso a ele. -
anet3,
Adicionalmente as dicas já postadas aqui lembre-se que: A ordem em que as regras aparecem faz toda a diferença no comportamento do seu firewall. As rules são interpretadas e “julgadas” sempre seqüencialmente, da primeira para a última regra. Isso quer dizer que se as condições da regra 1 forem satisfeitas, o pfSense a executa em detrimento das demais. Em função disso é comum colocarmos as regras mais “genéricas” encabeçando o nosso “plano de regras”. Para reordenar uma regra, selecione a rule em questão e então clique sob o botão (mão) na linha que você deseja que fique imediatamente abaixo da regra movida.
Não obstante, você não precisa criar uma regra negando tudo… Por default isso já funciona assim no pfSense. ;)
Abraços!
Jack -
me uma dica das regras criadas e a sequencia… se for possível
meu DNS uso 8.8.8.8 / 8.8.4.4 não te regra nenhuma no firewall nem sei como fazer essa regra
-
me uma dica das regras criadas e a sequencia… se for possível
meu DNS uso 8.8.8.8 / 8.8.4.4 não te regra nenhuma no firewall nem sei como fazer essa regraNão há segredo na criação de regras de firewall no pfSense. Basta compreender seu funcionamento e seguir algumas premissas básicas:
-
- Crie um Alias contendo todos os sites HTTPS (do tipo host) que são lícitos (você quer liberar acesso);
-
- Crie/Atualize um Alias contendo todos IPs da sua LAN que devem ter acesso irrestrito à web;
-
- Crie/Atualize um Alias contendo todos os sites lícitos (você quer liberar acesso);
-
- Em "Firewall->Rules->Lan", crie uma regra (encabeçando a lista de rules) onde você libera todas as conexões que sejam originadas pelos micros da direção (alias criado no passo 2);
-
- Na sequencia, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTP criados acima = com destino a porta TCP/80 (alias criado no passo 3)
-
- Por fim, em "Firewall->Rules->Lan", crie uma regra onde você libera conexões com destino aos sites HTTPS criados acima = com destino a porta TCP/443 (alias criado no passo 1)
Pronto… Isso fará com que todos da diretoria/privilegiados navagem e façam quaisquer outras coisas na internet livremente. Quem não for da diretoria (não participar do respectivo alias), poderá navegar livremente nos sites inseridos no alias do passo 3 e em sites/sistemas HTTPS inseridos no passo 1.
Se uma conexão não for originada por um membro da diretoria, não for com destino à algum site HTTP lícito ou à algum site HTTPS inserido no passo 1, ela será automaticamente negada. Simples assim! ;)
Abraços!
Jack -
-
ok vou tentar
-
valeu pela ajuda vou começar do 0 aqui e fazer como vc ensinou Obrigado…
-
essa regra no firewall tem que ser desativada?
Default allow LAN to any rule -
essa regra no firewall tem que ser desativada?
Default allow LAN to any ruledepois de criar as outras regras que liberam o que você precisa sim.
-
:P Realmente Ultrasurf pode encomodar um pouco, mas este material pode lhe ajudar muito http://blog.rafaeltorrales.info/2012/01/24/proposed-ultrasurf-block-list/
E o rapaz foi caridoso ainda distribuiu toda lista de ranges, ip e portas que ultrasurf 11.03 se conecta em TXT http://www.rafaeltorrales.info/cp/captures/log-ips.txt
Porem, lembre-se que não é só de Ultrasurf que usuário atazana nossa vida hehehehe existem outras ferramentas, creio que seria interessante você apenas permitir somente o necessário pela porta 443 como sites de banco.