Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Bloquear UltraSurf vía Pfsense

    Español
    3
    8
    5418
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alfredopea last edited by

      Para bloquear Ultrasurf los pasos son los siguientes:

      1. Instalamos pfBlocker en nuestra distribución de Pfsense 2.0
      2. Ingresamos desde el navegador de tu preferencia a la siguiente dirección : https://www.countryipblocks.net/
      3. Desde el menú principal de la página accedemos a "Access Control Lists"
      4. Seleccionamos el país "Tawian, provincia de China" y generamos una lista en formato CIDR copiamos en portapapeles dicha información
      5. Ingresamos al módulo de pfBlocker desde Firewall–>PfBlocker
      6. Seleccionamos la pestaña de "List" y procedemos a generar una nueva lista con el nombre que gustes, en "List Action" seleccionamos "Deny Both"
      7. Despues copiamos en la caja de texto de "CIDR" la lista generada que tenemos en portapapeles previamente y guardamos dando clic en "Save"
      8. Damos clic en la pestaña "General", habilitamos dicho módulo dando clic en "Enable"
      9. La interfaz Inbound seleccionamos "WAN" por defecto o dependiendo de las interfaces que tengas para entrada a tu ISP.
      10. En "Indbound Deny Action" seleccionamos "Block"
      11. En "Outbund Interfaces" seleccionamos "LAN" o las interfaces de tus VLANs que tengas definidas
      12. En "Outbound deny action" seleccionamos "Reject"
      13. Guardamos los cambios dando clic en "Save"
      14. Hay que generar o cambiar la regla para que las consultas DNS solo puedan hacerlas a la IP de tu servidor de DNS Interno (LAN Subnet allow TCP/UDP to Destination:TUIPINTERNA, Protocolo DNS), para eso previamente hay que habilitar en Services-->DNS Forwarder (En caso de que este en Pfense), dicha opción.

      Hay que verificar que se hayan generado las reglas en Firewall--Rules para las Interfaces WAN, LAN o Vlans que tengas previamente configuradas en tu caja de pfsense, lamentablemente UltraSurf para operar requiere en su mayoría de ips que se encuentran alojadas en dicha provincia (Taiwan), lo más sencillo es bloquear los segmentos que la conforman , dado que constantemente cambian y/o se incrementan, entiendo que no es lo mas elegante pero al menos asi no tendremos que bloquear HTTPS y conformar una lista de IPs y URLs seguras eso es algo minucioso y con tendencias a fallos, esto fue probado con Pfsense 2.0.1-RELEASE(amd64), espero que esta información les sea de utilidad.

      Ing. Alfredo Peña Ramos
      Viva el Software Libre!

      1 Reply Last reply Reply Quote 0
      • pozolero
        pozolero Rebel Alliance last edited by

        Que tal, vi tu post y se agradece una nueva forma de bloquearlo.

        Te comento en lo personal segui el tutorial de periko de squid modo no transparente y sin ningun problema me bloquea ultrasurf, y otros proxybypass… te recomiendo el tutorial:

        http://pheriko.blogspot.mx/2012/03/pfsense-2-configurar-squid.html

        En el indice del foro en español en los post fijos, Bellera hizo el favor a peticion de periko de poner links a los tutoriales...

        Tambien es otra forma de hacer el bloqueo de ultrasurf...

        Saludos

        1 Reply Last reply Reply Quote 0
        • ZAC
          ZAC last edited by

          Yo sabía, que solo bloqueando el puerto 443 se soluciona el problema.

          1 Reply Last reply Reply Quote 0
          • A
            alfredopea last edited by

            Se puede bloquear el puerto 443 pero denegarias el acceso a un sin fin de paginas que lo requieren por razones de seguridad…ejem hotmail, gmail, yahoo, cisco, etc etc no es viable, saludos.

            Ing. Alfredo Peña Ramos
            Viva el Software Libre!

            1 Reply Last reply Reply Quote 0
            • pozolero
              pozolero Rebel Alliance last edited by

              @ZAC:

              Yo sabía, que solo bloqueando el puerto 443 se soluciona el problema.

              Exactamente como dice alfredopea, si bloqueas ese puerto, te cargas muchas paginas incluyendo bancos…

              1 Reply Last reply Reply Quote 0
              • pozolero
                pozolero Rebel Alliance last edited by

                Recomendacion, es mucho mas facil bloquear ultrasurf, proxpn y demas proxies bypass utilizando configuracion no transparente de squid que transparente…

                Yo pude bloquear ultrasurf y otros en modo transparente, pero era una instalacion ubuntu server + squid + iptables  utilizando un script con bloqueo de puerto 443 y solo abrir para determinados sitios, pero a veces daba unos dolores de cabeza por que dejaba entrar a correos y otras veces no, o no cargaban completamente...

                Saludos

                1 Reply Last reply Reply Quote 0
                • A
                  alfredopea last edited by

                  @pozolero:

                  Recomendacion, es mucho mas facil bloquear ultrasurf, proxpn y demas proxies bypass utilizando configuracion no transparente de squid que transparente…

                  Yo pude bloquear ultrasurf y otros en modo transparente, pero era una instalacion ubuntu server + squid + iptables  utilizando un script con bloqueo de puerto 443 y solo abrir para determinados sitios, pero a veces daba unos dolores de cabeza por que dejaba entrar a correos y otras veces no, o no cargaban completamente...

                  Saludos

                  La técnica de Pheriko es efectiva y en cierto modo mas disciplinada que la solución que propuse, pero se torna un tanto laboriosa de administrar cuando manejas grandes cantidades de segmentos y/o vlans, muchas políticas de navegación por áreas de trabajo (centros de cómputo, laboratorios), muchos usuarios móviles, etc.

                  La idea es dar una solución que sea efectiva, aplique para pequeños o grandes escenarios, no afecte la productividad de las áreas y finalmente te olvides de ella para pasar a otro tipo de menesteres.

                  Ing. Alfredo Peña Ramos
                  Viva el Software Libre!

                  1 Reply Last reply Reply Quote 0
                  • pozolero
                    pozolero Rebel Alliance last edited by

                    Apoyo tu comentario, y es otra forma de bloquearlo, además.

                    Y aprender cuando se tiene un gran numero de usuarios…

                    Saludos

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post