Pfsense snort ultrasurf meselesi



  • Merhaba

    pfsense ve snort ile ultrasurf engellemeye çalışıyorum.nette birkaç sayfada benzer bir makale buldum ve uyguladım.

    http://blog.bga.com.tr/2010/06/snort-kullanarak-ultrasurf-engelleme.html

    wireshark ile izlediğimde buradaki snort kuralında content farklı olduğunu gördüm.kuralı ona göre değiştirdim. sonuç ekteki imajda.

    sanki kural çalışıyor ama ultrasurf de çalışmaya devam ediyor.blokladıysa neden neden…:(

    atladığım birşey mi var?

    ![Screenshot from 2013-07-26 01:36:03.png](/public/imported_attachments/1/Screenshot from 2013-07-26 01:36:03.png)
    ![Screenshot from 2013-07-26 01:36:03.png_thumb](/public/imported_attachments/1/Screenshot from 2013-07-26 01:36:03.png_thumb)



  • wireshark ekranı da burada.

    kural ise şu;

    alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:"Ultrasurf Kullanimi!";flow:to_server,established; content:"|16030000610100005d0300|";classtype:policy-violation; sid:1000099;)

    ![Screenshot from 2013-07-26 01:39:59.png](/public/imported_attachments/1/Screenshot from 2013-07-26 01:39:59.png)
    ![Screenshot from 2013-07-26 01:39:59.png_thumb](/public/imported_attachments/1/Screenshot from 2013-07-26 01:39:59.png_thumb)



  • tekrar merhaba

    ubuntu linuxta iptables ile string match yapınca ultrasurf engellendi.ubuntuyu pfsense ile client arasına koydum.sadece kural şu;

    iptables -I FORWARD -m tcp -p tcp –dport 443 -m string --to 256 --hex-string '|16030000610100005d0300|' --algo bm -j DROP

    ultrasurf yerinden kımıldayamıyor:)



  • ultrasurf 13.03 için ne yapmamiz lazim



  • Ultrasurf'de, temel problem server adreslerinin değişip durması.
    13.01 için olanlar şunlar.
    Bu ip'leri bloklamayı deneyin derim.

    65.49.14.0/24
    63.215.202.0/24
    207.171.185.0/24
    207.171.189.0/24
    72.21.194.31/31
    101.128.162.237/31
    175.180.102.77/31
    122.120.64.0/24
    111.255.130.151/31
    1.160.238.30/31
    124.12.53.63/31
    220.136.246.137/31
    70.32.68.127/31
    207.171.163.151/31
    175.180.85.181/31
    129.59.210.101/31
    174.24.248.14/31
    114.25.182.57/31
    114.39.201.136/31
    72.21.194.33/31
    124.11.175.111/31
    61.230.180.191/31
    72.21.214.0/24
    124.11.174.122/31
    207.171.187.117/31
    111.254.118.171/31
    218.169.205.131/31
    112.104.197.114/31
    72.21.194.0/24
    111.242.22.245/31
    220.141.106.42/31
    111.250.193.106/31
    111.249.177.164/31
    114.25.11.175/31
    114.39.205.22/31
    205.251.242.164/31
    72.21.203.148/31
    61.223.97.169/31
    124.12.53.63/31
    65.49.14.0/24
    124.11.175.28/31
    122.121.19.6/31
    65.49.2.13/31
    24.11.192.219/31
    220.136.246.137/31
    63.215.202.6/31
    114.40.37.203/31
    72.69.176.100/31
    114.47.85.88/31
    112.105.119.46/31
    123.204.125.161/31
    184.26.194.70/31
    1.169.120.246/31
    1.160.0.0/16
    1.162.0.0/16
    1.168.0.0/16
    1.169.0.0/16
    1.170.0.0/16
    1.171.0.0/16
    1.172.0.0/16
    1.173.0.0/16
    1.174.0.0/16
    1.175.0.0/16
    114.45.170.0/24
    122.124.162.0/24
    65.49.14.0/24
    61.223.97.0/24
    124.12.53.0/24
    112.104.197.0/24
    124.11.53.0/24
    216.13.11.51/31
    72.21.211.170/31
    122.126.124.13/31
    61.230.180.173/31
    111.255.145.159/31
    101.128.162.237/31
    124.11.170.214/31
    1.160.120.246/31
    124.11.192.176/31
    124.12.54.173/31
    112.105.77.240/31
    220.141.154.81/31
    114.47.113.94/31
    67.19.60.8/31
    64.25.35.201/31
    124.12.32.176/31
    211.74.191.69/31
    64.4.44.80/31
    125.230.125.163/31
    64.25.35.101/31
    175.181.112.39/31
    207.171.163.161/31
    114.46.161.107/31
    63.245.209.31/31
    128.120.32.97/31
    112.105.87.62/31
    216.13.113.51/31
    218.165.24.161/31
    118.171.193.179/31
    70.32.68.127/31
    59.112.114.149/31
    113.197.194.199/31
    59.113.2.250/31
    111.242.6.218/31
    124.9.197.126/31
    114.25.0.2/31
    124.11.196.43/31
    111.254.211.65/31
    66.245.218.3/31
    203.73.50.4/31
    124.11.224.38/31
    1.170.151.113/31
    218.167.224.59/31
    125.231.91.189/31
    218.167.224.113/31
    61.230.182.171/31
    207.171.163.225/31
    203.73.55.210/31
    63.226.208.181/31
    59.112.116.233/31
    207.171.163.3/31
    125.232.184.53/31
    175.182.30.182/31
    114.40.42.214/31
    219.80.130.235/31
    59.112.115.93/31
    218.173.162.58/31
    111.255.132.243/31
    111.254.214.163/31
    111.240.152.228/31
    1.169.171.87/31
    122.125.36.24/31
    111.242.37.253/31
    61.230.113.122/31
    124.11.189.196/31
    218.169.182.134/31
    118.160.104.136/31
    114.25.7.27/31
    207.171.163.195/31
    114.47.69.24/31
    124.11.224.197/31
    114.40.26.207/31
    111.250.71.235/31
    124.11.229.119/31
    114.41.64.36/31
    111.242.3.157/31
    111.255.138.181/31
    114.40.31.114/31
    114.37.111.204/31
    114.25.19.121/31
    111.242.36.94/31
    218.167.4.85/31
    114.25.1.44/31
    70.32.68.127/31
    118.96.153.161/31
    114.41.25.53/31
    122.121.17.23/31
    111.255.130.127/31
    114.40.40.229/31
    111.255.132.2/31
    118.171.194.210/31
    111.242.8.4/31
    118.214.82.70/31
    114.39.204.244/31
    118.170.208.85/31
    125.224.242.61/31
    118.169.59.42/31
    114.40.117.58/31
    107.20.223.211/31
    65.49.2.18/31
    124.11.227.214/31
    124.12.56.57/31
    118.169.59.42/31
    122.125.1.93/31
    61.228.34.89/31
    65.49.14.0/24
    65.49.2.0/24
    118.160.0.0/13
    63.216.0.0/13
    199.14.0.0/16
    199.11.0.0/16
    199.12.0.0/15
    97.76.0.0/14
    220.129.0.0/16
    220.130.0.0/15
    220.132.0.0/14
    220.136.0.0/13
    114.32.0.0/12
    199.114.216.0/21
    118.168.0.0/14
    96.9.128.0/18
    176.31.59.64/26
    46.37.180.160/28
    69.61.18.64/26
    65.49.14.0/24
    87.117.245.128/25
    46.22.212.64/27
    37.59.199.224/27
    121.102.0.0/16
    64.120.128.0/17
    125.224.0.0/13
    149.5.0.0/16
    122.120.0.0/13
    61.220.0.0/14
    61.224.0.0/14
    122.118.0.0/16
    184.82.0.0/16
    124.8.0.0/14
    124.12.0.0/16
    80.79.125.32/27
    46.22.214.0/27
    207.195.224.0/20
    112.104.0.0/15
    212.69.191.192/27
    76.191.100.0/22
    111.240.0.0/12
    59.104.0.0/15
    211.74.0.0/17
    216.81.80.0/20
    69.61.15.0/26
    114.24.0.0/14
    36.224.0.0/12
    66.201.64.0/18
    96.9.128.0/18
    124.147.64.0/18
    175.180.0.0/14
    69.61.0.0/17
    66.160.128.0/18
    66.160.192.0/20
    70.48.0.0/13
    1.160.0.0/12
    212.69.191.32/27
    173.208.128.0/17
    93.186.169.64/26
    80.79.112.32/27
    216.198.220.96/27
    218.160.0.0/12
    61.31.0.0/16
    212.69.166.0/27
    64.228.0.0/14
    218.187.112.0/20
    204.101.111.0/24
    118.171.236.62/32
    183.0.0.0/10
    219.80.0.0/15
    202.161.41.59/32
    184.30.34.70/32
    24.249.236.141/32
    195.182.22.117/32
    74.125.234.17/32
    204.122.16.9/32
    130.160.4.114/32
    205.251.242.183/32
    207.130.79.7/32
    208.76.139.27/32
    75.162.109.1/32
    208.117.21.240/32
    208.117.19.238/32
    202.96.255.144/32
    205.251.242.195/32
    200.155.36.193/32
    222.124.178.98/32
    205.251.0.0/16
    74.80.0.0/16
    208.117.0.0/16
    68.65.0.0/16
    69.162.180.246
    95.143.33.188
    184.22.222.206
    23.37.0.0/16
    72.21.0.0/16
    69.28.0.0/16
    176.32.0.0/16
    72.247.0.0/16
    134.170.0.0/16
    69.171.0.0/16
    17.173.0.0/16
    192.204.82.153/32
    107.14.43.251/32
    193.111.230.26/32
    38.102.68.227/32
    130.36.0.0/16
    205.151.16.2/32
    69.60.84.136/32
    198.182.8.3/32
    201.39.217.170/32
    24.113.32.30/32
    209.53.200.3/32
    134.121.80.36/32
    209.62.128.12/32
    217.18.80.105/32
    198.188.255.192/32
    146.217.15.254/32
    65.243.234.120/32
    208.5.33.10/32
    72.21.211.167/32
    65.49.14.164/32
    46.211.222.235/32



  • Merhaba arkadaşlar aslında başlıkta epey birşeyi açıklamış bulunmaktayım. Resimde de düşündüğüm gibi bir sistem kurmak istiyorum. Tabiki sorun ultrasurf vb. programlar. Pfsenseyi mecburiyetten trasparent proxy olarak kullanmak zorundayım ve ultrasurf tek tek ip girme gibi bir yöntemle engelleme işini yapamadım. (ya da o kadar uğraşamadım.) zaten ultrasurf sürekli ip yenilediği için bu yönteminde stabil çalışmayacağı fikrindeyim.

    Bazı kaynaklardan okuduğum kadarıyla linuxta iptablese verilecek olan bir komut ile ultrasurf tamamen engellenebiliyormuş.

    örnek olarak bu kodu verebilirim.

    iptables -I FORWARD -p tcp –dport 443 –tcp-flags SYN,ACK,FIN,RST,PSH ACK,PSH -m string –to 512 –hex-string ‘|00040005000a00090064006200030006001300120063|’ –algo bm -j DROP
    

    Benim pfsense tarafı ile hiçbir sorunum yok. Pfsense de herşeyi yapabilirim. Fakat diğer linux tarafında aklıma takılan çok şey var.

    1. Herhangi bir linux sürümünü kullanabilir miyim? Mesela ubuntu ya da pardus gibi..
    2. Bu sürümlerde iptables kurulu olarak geliyor sanırım. (Denemedim…)
    3. Böyle bir yapıda pfsense'nin önüne mi linuxu koysam daha iyi olur yoksa pfsense'den sonra mı?
    4. iptablesin dhcp'si açık mı oluyor. ya da şöyle diyeyim sisteme ip'yi hangisi dağıtsın.
    5. linux'un sadece ultrasurfu engellemesini istiyorum. diğer olaylara pfsense bakacak. bu mümkün müdür?

    daha çok sorum var fakat bu akşam bir sürüm ile başlayıp deneyeceğim.  Bu konuyu denemiş ya da tecrübeli arkadaşlar varsa ve yardım ederseler çok memnun olurum.

    Gelişmeleri buradan paylaşacağım.




  • Merhaba.

    asagidaki adresi incele istersen.

    https://forum.pfsense.org/index.php/topic,71141.msg388562.html#msg388562

    saygilar



  • Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)



  • @drmavi:

    Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)

    Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?



  • @Qbilay:

    @drmavi:

    Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)

    Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?

    13.04 ile şuan denedim. snort loglarından engellendi diyor fakat ultrasurf yine de çalışıyor. ekran görüntülerini de ana konuya ekleyeceğim.



  • @drmavi:

    @Qbilay:

    @drmavi:

    Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)

    Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?

    13.04 ile şuan denedim. snort loglarından engellendi diyor fakat ultrasurf yine de çalışıyor. ekran görüntülerini de ana konuya ekleyeceğim.

    psikolojik rahatlama :)



  • @fotocum:

    @drmavi:

    @Qbilay:

    @drmavi:

    Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)

    Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?

    13.04 ile şuan denedim. snort loglarından engellendi diyor fakat ultrasurf yine de çalışıyor. ekran görüntülerini de ana konuya ekleyeceğim.

    psikolojik rahatlama :)

    bence de. bende psikolojik olarak rahatlamıştım ama uzun sürmedi.

    Asıl konum hakkında fikri olan var mı? Ultrasurf engellemek için herhalde pfsense'nin önüne veya arkasına bir linux sürümü şart oldu gibi.




  • arkasına kurarsan sıkıntı olacaktır. bence önüne koyman çok daha basit bir çözüm…



  • @olriss:

    tekrar merhaba

    ubuntu linuxta iptables ile string match yapınca ultrasurf engellendi.ubuntuyu pfsense ile client arasına koydum.sadece kural şu;

    iptables -I FORWARD -m tcp -p tcp –dport 443 -m string --to 256 --hex-string '|16030000610100005d0300|' --algo bm -j DROP

    ultrasurf yerinden kımıldayamıyor:)

    evet bende şimdi aynı durum için yeni bir konu açmıştım. Sonra snort ile engelleme macerasına daldım. Aynı sonuçları bende aldım. snort alertlerde engellendi diyor fakat engel yok.

    Şimdi ilk düşüncem olan pfsense'nin yanına bir linux sürümü kurmak.

    Birkaç sorum olacak size;

    Ubuntuda iptables için sadece yukarıda verdiğiniz kuralı mı eklediniz.
    iptables'te dhcp kapatmak için ya da başka ayarlar yaptınız mı?

    pfsense tarafından sorunum yok. linux sürümlerinden çoğunu kullandım fakat iptables ile hiç işim olmadı. Detaylı bilgi verebilirseniz çok minnettar kalırım.

    Teşekkürler.



  • Bu konuda pfblocker işe yaramıyor mu?



  • bir soru sadece. burası pfsense ama mikrotik R.Os denediniz mi?



  • @fotocum:

    arkasına kurarsan sıkıntı olacaktır. bence önüne koyman çok daha basit bir çözüm…

    https://forum.pfsense.org/index.php/topic,64828.0.html

    bu konuda arkadaşımız yapmış.

    pfblocker ile sürekli ip takip etmek gerekiyor. Kesin çözümden yanayım



  • @fotocum:

    bir soru sadece. burası pfsense ama mikrotik R.Os denediniz mi?

    mikrotik'i hiç denemedim. pfsense ile alakalı



  • merhaba

    neticede ultrasurf gibi bir yazılımı engeleyebilecek olan iki mantık var ve bu sadece benim düşüncem.yanılıyor olabilirim.

    1.ips türü snort_inline vs gibi veya ticari ürünlerdeki application firewall dedikleri türden.
    2.belki çok kalıcı olmayabilir ama iptables match string.

    ben ikinci yöntemde karar kıldım.pfsense de iptables match string gibi bir  özellik  bulamadım.ben de isp ile pfsense arasına bir linux koydum.
    bu şekilde mesele çözüldü.blogumdan beni bulan birkaç arkadaşımda bunun çalıştığını raporladı.

    iptables kuralları işinize yarar diye buradan da yazıyorum.

    Ultrasurf 13.03 engelleme için güncel iptables kuralları aşağıdadır.

    iptables -I FORWARD -m tcp -p tcp –dport 443 -m string –to 256 –hex-string ‘|16030000610100005d0300|’ –algo bm -j DROP

    iptables -I FORWARD -m tcp -p tcp –dport 443 -m string –to 256 –hex-string ‘|160301013c010001380303|’ –algo bm -j DROP

    iptables -I FORWARD -i eth0 -p tcp –dport 1024:65535 -j DROP


Log in to reply