Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloqueando o cliente que tenta usar ultrasurf por x minutos

    Scheduled Pinned Locked Moved Portuguese
    25 Posts 6 Posters 8.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcellocM
      marcelloc
      last edited by

      Bom dia pessoal,

      Ontem recebi dica de implementação do fail2ban para bloquear o ultrasurf baseado nas listas de ip que já usamos para o bloqueio tradicional.

      O procedimento basicamente bloqueia o ip do cliente por x minutos caso ele tente acessar a rede de ips principal do ultrasurf.

      Como este procedimento pode ser feito sem a necessidade do fail2ban no pfsense, resolvi descrever o procedimento para colocar na lista de tutoriais disponível.

      • 1o passo, Siga a risca este tutorial para bloquear as redes mais conhecidas do ultrasurf

      • 2o passo, Instale o pacote cron em system -> packages

      • 3o passo, Acesse system-> cron e alltere o agendamento do /usr/local/sbin/expiretable -v -t 120 virusprot
        mude todos os campos de tempo (minute, hour, mday, etc) para * de forma que o script rode a cada minuto.
        em seguida altere o parametro "-t  3600" para a quantidade de tempo em segundos que você quer o usuario malandrão bloqueado. Para bloquear por 5 minutos , use -t 300  ;)

      • 4o passo, Na regra criada na interface lan, cadastre os parametros de limite de conexões da regra, estabelecendo um limite baixo de conexões para que o ip do cliente seja cadastrado na lista de bloqueio.
        Abaixo dica de configuração:
        Maximum number of established connections per host:1
        Maximum state entries per host: vazio
        Maximum new connections / per second: 1/60(s)

        Para que o limite seja alcançado, altere a regra de deny para allow.

      Salvando todas as configurações, você já poderá acompanhar os ips bloqueados em diagnostic -> tables -> virusprot

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • J
        johnnybe
        last edited by

        Curti muito! Excelente! Valeu, Marcello!

        you would not believe the view up here

        1 Reply Last reply Reply Quote 0
        • J
          johnnybe
          last edited by

          @marcelloc:

          Para que o limite seja alcançado, altere a regra de deny para allow.

          Marcello, esta alteração de deny para allow, você está se referindo a marcar a opção "This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic" em Advanced options? Acredito que seja isto, não é?

          you would not believe the view up here

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            É no allow da regra mesmo. No lugar de reject, o permit.

            Você pode adicionalmente criar um limite de banda de 1k.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • J
              johnnybe
              last edited by

              @marcelloc:

              Abaixo dica de configuração:

              Maximum number of established connections per host:1
              Maximum state entries per host:1
              Maximum new connections / per second: 1/60(s)

              Para que o limite seja alcançado, altere a regra de deny para allow.

              Sendo assim, o cliente (estação) irá exceder as permissões - conforme tabela acima - e portanto será bloqueado pelo tempo estabelecido no passo 3. Está correto este meu entendimento agora?

              you would not believe the view up here

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                @johnnybe:

                Sendo assim, o cliente (estação) irá exceder as permissões - conforme tabela acima - e portanto será bloqueado pelo tempo estabelecido no passo 3. Está correto este meu entendimento agora?

                Isso. :)

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • J
                  johnnybe
                  last edited by

                  @marcelloc:

                  @johnnybe:

                  Sendo assim, o cliente (estação) irá exceder as permissões - conforme tabela acima - e portanto será bloqueado pelo tempo estabelecido no passo 3. Está correto este meu entendimento agora?

                  Isso. :)

                  Ilustrativo. Obrigado de montão, Marcello!  :)  :D  ;D

                  you would not believe the view up here

                  1 Reply Last reply Reply Quote 0
                  • A
                    amendoinn
                    last edited by

                    Desculpe pela ignorancia mas nao entendi direto essa parte

                    **_4o passo, Na regra criada na interface lan, cadastre os parametros de limite de conexões da regra, estabelecendo um limite baixo de conexões para que o ip do cliente seja cadastrado na lista de bloqueio.
                    Abaixo dica de configuração:
                    Maximum number of established connections per host:1
                    Maximum state entries per host:1
                    Maximum new connections / per second: 1/60(s)

                    Para que o limite seja alcançado, altere a regra de deny para allow._**

                    pelo que entendi eu preciso criar um limite, mas nao sei onde criar, podem me ajudar.

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @amendoinn:

                      pelo que entendi eu preciso criar um limite, mas nao sei onde criar, podem me ajudar.

                      Fica na própria regra, no campo advanced options.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • A
                        amendoinn
                        last edited by

                        Mas para isso devo criar um limiter (em Firewall: Traffic Shaper: Limiter), correto?

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          Se quiser além de limitar a banda além de limitar as  conexões, fique a vontade.

                          o tutorial deste tópico limita o acesso por quantidade de conexões.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • H
                            henriquejensen
                            last edited by

                            Alguém poderia me dar uma luz pq não to conseguindo encontrar o erro na adição das regras: (ultrasurf continua passando direto)

                            Uso proxy transparente.




                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              Com proxy transparente,  você precisa incluir o alias na lista "bypass proxy for these destinations".

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • H
                                henriquejensen
                                last edited by

                                Valeu Marcelo, obrigado pela dica.
                                Ainda não testei no pfsense pq já instalei no meu cliente e não sei porque raios, perdi acesso à ele desde ontem.
                                Assim que conseguir ir até o local já  vou corrigir oque ficou faltando e dar um retorno aqui.
                                Seria até interessante adicionar essa informação no primeiro post  ;)

                                1 Reply Last reply Reply Quote 0
                                • R
                                  Riroxi
                                  last edited by

                                  marcelloc, boa tarde!

                                  Fiz essa implementação no meu pfsense 2.1, porém ao realizar o teste, o cliente não é bloqueado, apesar de ser identificado pelo log do firewall como pass para um dos ips do ultrasurf.

                                  Estou com proxy transparent, e já coloquei a opção citada acima.

                                  Não sei mais por onde procurar.

                                  Se puder ajudar, agradeço.

                                  Forte abraço.

                                  Riroxi

                                  ScreenShot117.jpg
                                  ScreenShot117.jpg_thumb
                                  ScreenShot116.jpg
                                  ScreenShot116.jpg_thumb
                                  ScreenShot115.jpg
                                  ScreenShot115.jpg_thumb

                                  1 Reply Last reply Reply Quote 0
                                  • marcellocM
                                    marcelloc
                                    last edited by

                                    @Riroxi:

                                    Não sei mais por onde procurar.

                                    No tcpdump.

                                    Se o proxy não intercepta o ip e o firewall tem o alias configurado com a regra certa e o limite de conexões, é pra funcionar.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • R
                                      Riroxi
                                      last edited by

                                      @marcelloc:

                                      Se o proxy não intercepta o ip e o firewall tem o alias configurado com a regra certa e o limite de conexões, é pra funcionar.

                                      Vou verificar o tcpdump.

                                      A regra do firewall funciona, pois o limitador é aplicado.

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        Em diagnostic tables é possível ver os ips bloqueados.

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • R
                                          Riroxi
                                          last edited by

                                          @marcelloc:

                                          Em diagnostic tables é possível ver os ips bloqueados.

                                          Então, não aparece nenhum. E a navegação está fluindo pelo ultrasurf sem problemas.

                                          :(

                                          1 Reply Last reply Reply Quote 0
                                          • marcellocM
                                            marcelloc
                                            last edited by

                                            @Riroxi:

                                            Então, não aparece nenhum. E a navegação está fluindo pelo ultrasurf sem problemas.

                                            Tenta refazer o procedimento então. Preste atenção principalmente na regra da lan que tem acão "allow" no lugar de "deny"

                                            Treinamentos de Elite: http://sys-squad.com

                                            Help a community developer! ;D

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.