Pfsense snort ultrasurf meselesi
-
Merhaba
pfsense ve snort ile ultrasurf engellemeye çalışıyorum.nette birkaç sayfada benzer bir makale buldum ve uyguladım.
http://blog.bga.com.tr/2010/06/snort-kullanarak-ultrasurf-engelleme.html
wireshark ile izlediğimde buradaki snort kuralında content farklı olduğunu gördüm.kuralı ona göre değiştirdim. sonuç ekteki imajda.
sanki kural çalışıyor ama ultrasurf de çalışmaya devam ediyor.blokladıysa neden neden…:(
atladığım birşey mi var?
 -
wireshark ekranı da burada.
kural ise şu;
alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:"Ultrasurf Kullanimi!";flow:to_server,established; content:"|16030000610100005d0300|";classtype:policy-violation; sid:1000099;)
 -
tekrar merhaba
ubuntu linuxta iptables ile string match yapınca ultrasurf engellendi.ubuntuyu pfsense ile client arasına koydum.sadece kural şu;
iptables -I FORWARD -m tcp -p tcp –dport 443 -m string --to 256 --hex-string '|16030000610100005d0300|' --algo bm -j DROP
ultrasurf yerinden kımıldayamıyor:)
-
ultrasurf 13.03 için ne yapmamiz lazim
-
Ultrasurf'de, temel problem server adreslerinin değişip durması.
13.01 için olanlar şunlar.
Bu ip'leri bloklamayı deneyin derim.65.49.14.0/24
63.215.202.0/24
207.171.185.0/24
207.171.189.0/24
72.21.194.31/31
101.128.162.237/31
175.180.102.77/31
122.120.64.0/24
111.255.130.151/31
1.160.238.30/31
124.12.53.63/31
220.136.246.137/31
70.32.68.127/31
207.171.163.151/31
175.180.85.181/31
129.59.210.101/31
174.24.248.14/31
114.25.182.57/31
114.39.201.136/31
72.21.194.33/31
124.11.175.111/31
61.230.180.191/31
72.21.214.0/24
124.11.174.122/31
207.171.187.117/31
111.254.118.171/31
218.169.205.131/31
112.104.197.114/31
72.21.194.0/24
111.242.22.245/31
220.141.106.42/31
111.250.193.106/31
111.249.177.164/31
114.25.11.175/31
114.39.205.22/31
205.251.242.164/31
72.21.203.148/31
61.223.97.169/31
124.12.53.63/31
65.49.14.0/24
124.11.175.28/31
122.121.19.6/31
65.49.2.13/31
24.11.192.219/31
220.136.246.137/31
63.215.202.6/31
114.40.37.203/31
72.69.176.100/31
114.47.85.88/31
112.105.119.46/31
123.204.125.161/31
184.26.194.70/31
1.169.120.246/31
1.160.0.0/16
1.162.0.0/16
1.168.0.0/16
1.169.0.0/16
1.170.0.0/16
1.171.0.0/16
1.172.0.0/16
1.173.0.0/16
1.174.0.0/16
1.175.0.0/16
114.45.170.0/24
122.124.162.0/24
65.49.14.0/24
61.223.97.0/24
124.12.53.0/24
112.104.197.0/24
124.11.53.0/24
216.13.11.51/31
72.21.211.170/31
122.126.124.13/31
61.230.180.173/31
111.255.145.159/31
101.128.162.237/31
124.11.170.214/31
1.160.120.246/31
124.11.192.176/31
124.12.54.173/31
112.105.77.240/31
220.141.154.81/31
114.47.113.94/31
67.19.60.8/31
64.25.35.201/31
124.12.32.176/31
211.74.191.69/31
64.4.44.80/31
125.230.125.163/31
64.25.35.101/31
175.181.112.39/31
207.171.163.161/31
114.46.161.107/31
63.245.209.31/31
128.120.32.97/31
112.105.87.62/31
216.13.113.51/31
218.165.24.161/31
118.171.193.179/31
70.32.68.127/31
59.112.114.149/31
113.197.194.199/31
59.113.2.250/31
111.242.6.218/31
124.9.197.126/31
114.25.0.2/31
124.11.196.43/31
111.254.211.65/31
66.245.218.3/31
203.73.50.4/31
124.11.224.38/31
1.170.151.113/31
218.167.224.59/31
125.231.91.189/31
218.167.224.113/31
61.230.182.171/31
207.171.163.225/31
203.73.55.210/31
63.226.208.181/31
59.112.116.233/31
207.171.163.3/31
125.232.184.53/31
175.182.30.182/31
114.40.42.214/31
219.80.130.235/31
59.112.115.93/31
218.173.162.58/31
111.255.132.243/31
111.254.214.163/31
111.240.152.228/31
1.169.171.87/31
122.125.36.24/31
111.242.37.253/31
61.230.113.122/31
124.11.189.196/31
218.169.182.134/31
118.160.104.136/31
114.25.7.27/31
207.171.163.195/31
114.47.69.24/31
124.11.224.197/31
114.40.26.207/31
111.250.71.235/31
124.11.229.119/31
114.41.64.36/31
111.242.3.157/31
111.255.138.181/31
114.40.31.114/31
114.37.111.204/31
114.25.19.121/31
111.242.36.94/31
218.167.4.85/31
114.25.1.44/31
70.32.68.127/31
118.96.153.161/31
114.41.25.53/31
122.121.17.23/31
111.255.130.127/31
114.40.40.229/31
111.255.132.2/31
118.171.194.210/31
111.242.8.4/31
118.214.82.70/31
114.39.204.244/31
118.170.208.85/31
125.224.242.61/31
118.169.59.42/31
114.40.117.58/31
107.20.223.211/31
65.49.2.18/31
124.11.227.214/31
124.12.56.57/31
118.169.59.42/31
122.125.1.93/31
61.228.34.89/31
65.49.14.0/24
65.49.2.0/24
118.160.0.0/13
63.216.0.0/13
199.14.0.0/16
199.11.0.0/16
199.12.0.0/15
97.76.0.0/14
220.129.0.0/16
220.130.0.0/15
220.132.0.0/14
220.136.0.0/13
114.32.0.0/12
199.114.216.0/21
118.168.0.0/14
96.9.128.0/18
176.31.59.64/26
46.37.180.160/28
69.61.18.64/26
65.49.14.0/24
87.117.245.128/25
46.22.212.64/27
37.59.199.224/27
121.102.0.0/16
64.120.128.0/17
125.224.0.0/13
149.5.0.0/16
122.120.0.0/13
61.220.0.0/14
61.224.0.0/14
122.118.0.0/16
184.82.0.0/16
124.8.0.0/14
124.12.0.0/16
80.79.125.32/27
46.22.214.0/27
207.195.224.0/20
112.104.0.0/15
212.69.191.192/27
76.191.100.0/22
111.240.0.0/12
59.104.0.0/15
211.74.0.0/17
216.81.80.0/20
69.61.15.0/26
114.24.0.0/14
36.224.0.0/12
66.201.64.0/18
96.9.128.0/18
124.147.64.0/18
175.180.0.0/14
69.61.0.0/17
66.160.128.0/18
66.160.192.0/20
70.48.0.0/13
1.160.0.0/12
212.69.191.32/27
173.208.128.0/17
93.186.169.64/26
80.79.112.32/27
216.198.220.96/27
218.160.0.0/12
61.31.0.0/16
212.69.166.0/27
64.228.0.0/14
218.187.112.0/20
204.101.111.0/24
118.171.236.62/32
183.0.0.0/10
219.80.0.0/15
202.161.41.59/32
184.30.34.70/32
24.249.236.141/32
195.182.22.117/32
74.125.234.17/32
204.122.16.9/32
130.160.4.114/32
205.251.242.183/32
207.130.79.7/32
208.76.139.27/32
75.162.109.1/32
208.117.21.240/32
208.117.19.238/32
202.96.255.144/32
205.251.242.195/32
200.155.36.193/32
222.124.178.98/32
205.251.0.0/16
74.80.0.0/16
208.117.0.0/16
68.65.0.0/16
69.162.180.246
95.143.33.188
184.22.222.206
23.37.0.0/16
72.21.0.0/16
69.28.0.0/16
176.32.0.0/16
72.247.0.0/16
134.170.0.0/16
69.171.0.0/16
17.173.0.0/16
192.204.82.153/32
107.14.43.251/32
193.111.230.26/32
38.102.68.227/32
130.36.0.0/16
205.151.16.2/32
69.60.84.136/32
198.182.8.3/32
201.39.217.170/32
24.113.32.30/32
209.53.200.3/32
134.121.80.36/32
209.62.128.12/32
217.18.80.105/32
198.188.255.192/32
146.217.15.254/32
65.243.234.120/32
208.5.33.10/32
72.21.211.167/32
65.49.14.164/32
46.211.222.235/32 -
Merhaba arkadaşlar aslında başlıkta epey birşeyi açıklamış bulunmaktayım. Resimde de düşündüğüm gibi bir sistem kurmak istiyorum. Tabiki sorun ultrasurf vb. programlar. Pfsenseyi mecburiyetten trasparent proxy olarak kullanmak zorundayım ve ultrasurf tek tek ip girme gibi bir yöntemle engelleme işini yapamadım. (ya da o kadar uğraşamadım.) zaten ultrasurf sürekli ip yenilediği için bu yönteminde stabil çalışmayacağı fikrindeyim.
Bazı kaynaklardan okuduğum kadarıyla linuxta iptablese verilecek olan bir komut ile ultrasurf tamamen engellenebiliyormuş.
örnek olarak bu kodu verebilirim.
iptables -I FORWARD -p tcp –dport 443 –tcp-flags SYN,ACK,FIN,RST,PSH ACK,PSH -m string –to 512 –hex-string ‘|00040005000a00090064006200030006001300120063|’ –algo bm -j DROPBenim pfsense tarafı ile hiçbir sorunum yok. Pfsense de herşeyi yapabilirim. Fakat diğer linux tarafında aklıma takılan çok şey var.
1. Herhangi bir linux sürümünü kullanabilir miyim? Mesela ubuntu ya da pardus gibi..
2. Bu sürümlerde iptables kurulu olarak geliyor sanırım. (Denemedim…)
3. Böyle bir yapıda pfsense'nin önüne mi linuxu koysam daha iyi olur yoksa pfsense'den sonra mı?
4. iptablesin dhcp'si açık mı oluyor. ya da şöyle diyeyim sisteme ip'yi hangisi dağıtsın.
5. linux'un sadece ultrasurfu engellemesini istiyorum. diğer olaylara pfsense bakacak. bu mümkün müdür?daha çok sorum var fakat bu akşam bir sürüm ile başlayıp deneyeceğim. Bu konuyu denemiş ya da tecrübeli arkadaşlar varsa ve yardım ederseler çok memnun olurum.
Gelişmeleri buradan paylaşacağım.
-
Merhaba.
asagidaki adresi incele istersen.
https://forum.pfsense.org/index.php/topic,71141.msg388562.html#msg388562
saygilar
-
Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)
-
Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)
Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?
-
Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)
Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?
13.04 ile şuan denedim. snort loglarından engellendi diyor fakat ultrasurf yine de çalışıyor. ekran görüntülerini de ana konuya ekleyeceğim.
-
Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)
Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?
13.04 ile şuan denedim. snort loglarından engellendi diyor fakat ultrasurf yine de çalışıyor. ekran görüntülerini de ana konuya ekleyeceğim.
psikolojik rahatlama :)
-
Çok teşekkür ederim. Yeni konu ve gözümden kaçmış. Hemen deniyorum. İnşaallah çalışır ve bu sorun tarih olur :)
Ultrasur 13.04 ile deneyip sonuclarini yazabilir misin?
13.04 ile şuan denedim. snort loglarından engellendi diyor fakat ultrasurf yine de çalışıyor. ekran görüntülerini de ana konuya ekleyeceğim.
psikolojik rahatlama :)
bence de. bende psikolojik olarak rahatlamıştım ama uzun sürmedi.
Asıl konum hakkında fikri olan var mı? Ultrasurf engellemek için herhalde pfsense'nin önüne veya arkasına bir linux sürümü şart oldu gibi.
-
arkasına kurarsan sıkıntı olacaktır. bence önüne koyman çok daha basit bir çözüm…
-
tekrar merhaba
ubuntu linuxta iptables ile string match yapınca ultrasurf engellendi.ubuntuyu pfsense ile client arasına koydum.sadece kural şu;
iptables -I FORWARD -m tcp -p tcp –dport 443 -m string --to 256 --hex-string '|16030000610100005d0300|' --algo bm -j DROP
ultrasurf yerinden kımıldayamıyor:)
evet bende şimdi aynı durum için yeni bir konu açmıştım. Sonra snort ile engelleme macerasına daldım. Aynı sonuçları bende aldım. snort alertlerde engellendi diyor fakat engel yok.
Şimdi ilk düşüncem olan pfsense'nin yanına bir linux sürümü kurmak.
Birkaç sorum olacak size;
Ubuntuda iptables için sadece yukarıda verdiğiniz kuralı mı eklediniz.
iptables'te dhcp kapatmak için ya da başka ayarlar yaptınız mı?pfsense tarafından sorunum yok. linux sürümlerinden çoğunu kullandım fakat iptables ile hiç işim olmadı. Detaylı bilgi verebilirseniz çok minnettar kalırım.
Teşekkürler.
-
Bu konuda pfblocker işe yaramıyor mu?
-
bir soru sadece. burası pfsense ama mikrotik R.Os denediniz mi?
-
arkasına kurarsan sıkıntı olacaktır. bence önüne koyman çok daha basit bir çözüm…
https://forum.pfsense.org/index.php/topic,64828.0.html
bu konuda arkadaşımız yapmış.
pfblocker ile sürekli ip takip etmek gerekiyor. Kesin çözümden yanayım
-
bir soru sadece. burası pfsense ama mikrotik R.Os denediniz mi?
mikrotik'i hiç denemedim. pfsense ile alakalı
-
merhaba
neticede ultrasurf gibi bir yazılımı engeleyebilecek olan iki mantık var ve bu sadece benim düşüncem.yanılıyor olabilirim.
1.ips türü snort_inline vs gibi veya ticari ürünlerdeki application firewall dedikleri türden.
2.belki çok kalıcı olmayabilir ama iptables match string.ben ikinci yöntemde karar kıldım.pfsense de iptables match string gibi bir özellik bulamadım.ben de isp ile pfsense arasına bir linux koydum.
bu şekilde mesele çözüldü.blogumdan beni bulan birkaç arkadaşımda bunun çalıştığını raporladı.iptables kuralları işinize yarar diye buradan da yazıyorum.
Ultrasurf 13.03 engelleme için güncel iptables kuralları aşağıdadır.
iptables -I FORWARD -m tcp -p tcp –dport 443 -m string –to 256 –hex-string ‘|16030000610100005d0300|’ –algo bm -j DROP
iptables -I FORWARD -m tcp -p tcp –dport 443 -m string –to 256 –hex-string ‘|160301013c010001380303|’ –algo bm -j DROP
iptables -I FORWARD -i eth0 -p tcp –dport 1024:65535 -j DROP
