galera alguem sabe um metodo eficiente de bloquear o ultrasurf, lembrando que ele tambem existe como extensao para o firefox, o q talvez possa dificultar um pouco mais o serviço.
andei lendo alguns materias porem não encontrei uma solução definitiva.
obrigado desde ja

Olá colega, o UltraSurf primeiramente se utiliza da porta 443 p/se conectar, se vc utiliza o squid como proxy, basta você fechar as conexões para esta porta e criar um arquivo p/ ir liberando os sites que utiliza conexões seguras(443).

Segue abaixo 2 dicas de bloqueio do UltraSurf:

http://www.vivaolinux.com.br/dica/Bloqu ... s-Iptables

http://www.vivaolinux.com.br/dica/Como- ... Ultrasurf/


Abraços!

boa tarde pessoal
como tinha conseguido bloquear apenas parcialmente o ultra surf, resolvi ressucitar este topico afim de que consigamos algo de concreto para o bloqueio do bendito.
alguem ae tem alguma sugestao?
lembrando que os metodos acima nao pude aplicar ak na empresa, pois no metodo 1 ele bloqueia pela quantidade de conexao https, porem ak temos 2 sistema que rodam inteiramente em https e iria me dar um pouco de dor de kbeça limitar as conexoes, ja o metodo 2 bloqueara tudo, tbm nao se adequa ak, alguem tem mais alguma sugestao?

Posta seu iptables e seu squid.conf

tive esse problema e consegui resolver deixando acesso a porta 443 apenas pelo output.

Olá,

Eu tenho varias redes de escolas de até mesmo faculdade, onde esse software foi utilizado, a maneira mais eficaz e rápida que encontrei foi por proxy não transparente.

Agora vamos analisar, toda vez que o ultra-surf é aberto, ele altera as configurações do proxy no navegador, logo ele perde a conexão com o seu servidor proxy e não navega.

A solução é:
1 - Não usar o proxy transparente.
2 - Com o proxy marcado no navegador, as portas 80 e 443 não precisam e nem podem está aberta no firewall, pois as mesma navegarão pelo SQUID (Proxy).
3 - Se tiver um controlador de domínio na rede, coloque-o para marca as configurações no navegador

Uma outra forma eficiente é utilizar o conceito de white-list, um pouco trabalhoso mas que tem eficiência.

Eu uso proxy trasnparente e nao tenho problema com ultrasurf.

ja fiz o teste em todas as versoes e o firewall bloqueia.

bom, uso squid + proxy transparente e não posso bloquear a porta 443 por conta de usarem sites de transações bancárias.

Depois de muitas noites perdendo o sono, consegui (não sei se permanentemente) bloquear o ultrasurf usando iptables.

Estou mechendo com linux há menos de 1 mês e fico fascinado com tamanha versatilidade e liberdade que nos dá.
Enfim, segue a minha solução

no arquivo de firewall que fica em /etc/init.d adiciona-se a seguinte regra:

for end in `cat /etc/squid/ultrasurf`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j DROP
iptables -A FORWARD -d $end -p tcp --dport 443 -j DROP
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

haja visto que o ultrasurf usa a porta 443 para buscar a lista de seus DNS'
passei + 2 dias analisando como esse programa funciona: ele tenta se conectar por uma lista de servidores pela 443, não conseguindo ele vai (acreditem ou não) pro goole (8.8.8.8:53 UDP) buscar outras fontes... não conseguindo, ele vai mais além: sai livremente pela TCP 80, novamente para o google. Ele acessa os sites do google de várias partes do mundo tentando acessar o serviço de proxy anônimo do google pelo site http://www.google.com/gwt/n?
Já que ele sai pela TCP 80, adicionei a palavra /gwt/n na minha lista de bloqueio. Dessa forma, se ele não conseguir pela sua lista local, tambem não conseguirá atualizar sua lista.

2 dias de pesquisa me levaram a achar esses ip's, os quais coloquei no arquivo /etc/squid/ultrasurf :
1.174.0.0/16
1.172.0.0/16
1.168.0.0/16
27.105.12.0/24
59.0.0.0/8
61.0.0.0/8
65.49.14.0/24
66.245.0.0/16
69.175.115.0/24
65.98.0.0/16
71.35.0.0/16
72.21.0.0/16
111.0.0.0/8
112.104.0.0/16
112.105.0.0/16
114.0.0.0/8
118.0.0.0/8
122.122.0.0/16
122.123.0.0/16
122.124.0.0/16
122.125.0.0/16
122.121.0.0/16
123.204.153.0/24
124.8.0.0/16
124.9.0.0/16
124.10.0.0/16
124.11.0.0/16
124.12.0.0/16
124.13.0.0/16
124.14.0.0/16
125.230.0.0/16
125.231.0.0/16
125.232.0.0/16
139.18.1.0/24
158.229.251.0/24
174.24.248.0/24
175.180.0.0/16
175.96.77.0/24
175.182.0.0/16
184.154.95.0/24
195.134.100.0/24
203.67.0.0/16
210.64.118.0/24
211.74.0.0/16
213.215.157.0/24
218.0.0.0/8
219.85.0.0/16
219.81.0.0/16
219.82.0.0/16
219.83.0.0/16
219.84.0.0/16
219.86.0.0/16
219.80.0.0/16
220.0.0.0/8


então segundo a minha regra, todos esses ip's ficam bloqueados para acesso pela TCP 443

feito isso o ultrasurf não conseguiu + se conectar.

Obs.: é claro que pode existir algum ip que não consta na minha lista e ele vai conseguir se conectar... mas garanto a você que nessa lista acima consta mais de 98% dos servidores que ele utiliza.


Recaptulando:
1) Coloque a seguinte regra no seu firewall:

for end in `cat /etc/squid/ultrasurf`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j DROP
iptables -A FORWARD -d $end -p tcp --dport 443 -j DROP
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

2) crie um arquivo (no meu caso na pasta etc/squid) chamado ultrasurf;

3) copie os ip's listados acima para o seu arquivo ultrasurf

4) Adicione ao seu arquivo de palavras bloqueadas do squid o termo /gwt/n

5) dê o comando squid -k reconfigure na pasta do squid e ./firewall na pasta etc/init.d e seja feliz.

Olá

Consegui bloquear com a regra abaixo:

$IP -t nat -A PREROUTING -i $INT -p tcp -d ! 200.192.88.130 --dport 80 -j REDIRECT --to-port 3128
$IP -t nat -A PREROUTING -i $INT -p tcp -d ! 200.192.88.130 --dport 443 -j REDIRECT --to-port 3128

Só que agora não consigo + acessar o site http://www.danzaslogistica.com.br (200.192.88.130)

Será q alguem pode me ajudar aí !!!!


Edson Linhares

Olá vou tentar a dica do landim e por esses ips na blacklist.

Acessa o link abaixo e veja se consegue resolver :

http://www.vivaolinux.com.br/artigo/Como...-Fail2ban)

retorna ai.