Bloquear UltraSurf vía Pfsense



  • Para bloquear Ultrasurf los pasos son los siguientes:

    1. Instalamos pfBlocker en nuestra distribución de Pfsense 2.0
    2. Ingresamos desde el navegador de tu preferencia a la siguiente dirección : https://www.countryipblocks.net/
    3. Desde el menú principal de la página accedemos a "Access Control Lists"
    4. Seleccionamos el país "Tawian, provincia de China" y generamos una lista en formato CIDR copiamos en portapapeles dicha información
    5. Ingresamos al módulo de pfBlocker desde Firewall–>PfBlocker
    6. Seleccionamos la pestaña de "List" y procedemos a generar una nueva lista con el nombre que gustes, en "List Action" seleccionamos "Deny Both"
    7. Despues copiamos en la caja de texto de "CIDR" la lista generada que tenemos en portapapeles previamente y guardamos dando clic en "Save"
    8. Damos clic en la pestaña "General", habilitamos dicho módulo dando clic en "Enable"
    9. La interfaz Inbound seleccionamos "WAN" por defecto o dependiendo de las interfaces que tengas para entrada a tu ISP.
    10. En "Indbound Deny Action" seleccionamos "Block"
    11. En "Outbund Interfaces" seleccionamos "LAN" o las interfaces de tus VLANs que tengas definidas
    12. En "Outbound deny action" seleccionamos "Reject"
    13. Guardamos los cambios dando clic en "Save"
    14. Hay que generar o cambiar la regla para que las consultas DNS solo puedan hacerlas a la IP de tu servidor de DNS Interno (LAN Subnet allow TCP/UDP to Destination:TUIPINTERNA, Protocolo DNS), para eso previamente hay que habilitar en Services-->DNS Forwarder (En caso de que este en Pfense), dicha opción.

    Hay que verificar que se hayan generado las reglas en Firewall--Rules para las Interfaces WAN, LAN o Vlans que tengas previamente configuradas en tu caja de pfsense, lamentablemente UltraSurf para operar requiere en su mayoría de ips que se encuentran alojadas en dicha provincia (Taiwan), lo más sencillo es bloquear los segmentos que la conforman , dado que constantemente cambian y/o se incrementan, entiendo que no es lo mas elegante pero al menos asi no tendremos que bloquear HTTPS y conformar una lista de IPs y URLs seguras eso es algo minucioso y con tendencias a fallos, esto fue probado con Pfsense 2.0.1-RELEASE(amd64), espero que esta información les sea de utilidad.



  • Que tal, vi tu post y se agradece una nueva forma de bloquearlo.

    Te comento en lo personal segui el tutorial de periko de squid modo no transparente y sin ningun problema me bloquea ultrasurf, y otros proxybypass… te recomiendo el tutorial:

    http://pheriko.blogspot.mx/2012/03/pfsense-2-configurar-squid.html

    En el indice del foro en español en los post fijos, Bellera hizo el favor a peticion de periko de poner links a los tutoriales...

    Tambien es otra forma de hacer el bloqueo de ultrasurf...

    Saludos



  • Yo sabía, que solo bloqueando el puerto 443 se soluciona el problema.



  • Se puede bloquear el puerto 443 pero denegarias el acceso a un sin fin de paginas que lo requieren por razones de seguridad…ejem hotmail, gmail, yahoo, cisco, etc etc no es viable, saludos.



  • @ZAC:

    Yo sabía, que solo bloqueando el puerto 443 se soluciona el problema.

    Exactamente como dice alfredopea, si bloqueas ese puerto, te cargas muchas paginas incluyendo bancos…



  • Recomendacion, es mucho mas facil bloquear ultrasurf, proxpn y demas proxies bypass utilizando configuracion no transparente de squid que transparente…

    Yo pude bloquear ultrasurf y otros en modo transparente, pero era una instalacion ubuntu server + squid + iptables  utilizando un script con bloqueo de puerto 443 y solo abrir para determinados sitios, pero a veces daba unos dolores de cabeza por que dejaba entrar a correos y otras veces no, o no cargaban completamente...

    Saludos



  • @pozolero:

    Recomendacion, es mucho mas facil bloquear ultrasurf, proxpn y demas proxies bypass utilizando configuracion no transparente de squid que transparente…

    Yo pude bloquear ultrasurf y otros en modo transparente, pero era una instalacion ubuntu server + squid + iptables  utilizando un script con bloqueo de puerto 443 y solo abrir para determinados sitios, pero a veces daba unos dolores de cabeza por que dejaba entrar a correos y otras veces no, o no cargaban completamente...

    Saludos

    La técnica de Pheriko es efectiva y en cierto modo mas disciplinada que la solución que propuse, pero se torna un tanto laboriosa de administrar cuando manejas grandes cantidades de segmentos y/o vlans, muchas políticas de navegación por áreas de trabajo (centros de cómputo, laboratorios), muchos usuarios móviles, etc.

    La idea es dar una solución que sea efectiva, aplique para pequeños o grandes escenarios, no afecte la productividad de las áreas y finalmente te olvides de ella para pasar a otro tipo de menesteres.



  • Apoyo tu comentario, y es otra forma de bloquearlo, además.

    Y aprender cuando se tiene un gran numero de usuarios…

    Saludos


Locked