Como bloquear o Ultrasurf - solução definitiva (iptables + Fail2ban)
Neste artigo eu descrevo como fazer o bloqueio do Ultrasurf utilizando iptables e Fail2ban.
[ Hits: 55.415 ]
Por: Rodrigo Luis Silva em 20/01/2012 | Blog: http://www.dotsharp.com.br/
Finalizando
Conclusão
Um forte abraço ao meu amigo
Yros Aguiar . Quando falei que iria criar um Daemon para ler o Log, ele
me lembrou que eu não precisaria reinventar a roda, bastava usar alguma ferramenta já existente. rs
Valeu! Economizou horas de trabalho.
Fica aí a dica, pra mim funcionou.
Testei apenas com a versão 11.03, se em alguma outra não der certo, peço que me avisem para podermos analisar como bloquear.
- Downloads:
Configuração SEM suporte a envio de e-mail:
Configuração COM suporte a envio de e-mail:
Referências
Página anterior
Páginas do artigo
1.
O problema
2.
Fail2ban
3.
Enviando e-mail de aviso
4. Finalizando
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Firewall/Proxy (solução completa)
Conexões redundantes e com balanceamento de carga - Ubuntu 9.04
Iptables + módulo recent
Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance)
Firewall iptables com NAT
Comentários
tentei fazer, mas não deu certo !!!
a regra state (-m state --state ESTABLISHED,RELATED) -bash: syntax error near unexpected token `-m'
Kleison, houve uma confusão na hora que o moderador ajustou o artigo.
Com relação ao iptables você só precisa adicionar a regra
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
e essa regra deve ficar antes da regra do modulo state (-m state --state ESTABLISHED,RELATED).
Se você não usa o modulo state no seu firewall basta colocar a regra como primeira.
Qualquer dúvida acessa o original
http://www.dotsharp.com.br/linux/como-fazer-para-bloquear-ultrasurf-solucao-definitiva-iptables-fail...
abs
Mensagem
Kleison, houve uma confusão na hora que o moderador ajustou o artigo.
Com relação ao iptables você só precisa adicionar a regra
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
e essa regra deve ficar antes da regra do modulo state (-m state --state ESTABLISHED,RELATED).
Se você não usa o modulo state no seu firewall basta colocar a regra como primeira.
Qualquer dúvida acessa o original http://www.dotsharp.com.br/linux/como-fazer-para-bloquear-ultrasurf-solucao-definitiva-iptables-fail2ban.html
abs
Muito bom o artigo, tomara que o governo chinês não leia .....
Mensagem
Muito bom o artigo, tomara que o governo chinês não leia .....
Fiz todos procedimentos com exceção do email e ao olhar o log aparece isso.
Restarting authentication failure monitor: fail2ban.
serverlinux:/etc/fail2ban/action.d# tail -f /var/log/fail2ban.log
2012-01-20 15:10:39,535 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-01-20 15:10:39,536 fail2ban.filter : INFO Set maxRetry = 6
2012-01-20 15:10:39,538 fail2ban.filter : INFO Set findtime = 600
2012-01-20 15:10:39,539 fail2ban.actions: INFO Set banTime = 600
2012-01-20 15:10:39,659 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-01-20 15:10:39,661 fail2ban.jail : INFO Jail 'ssh' started
2012-01-20 15:10:39,684 fail2ban.actions.action: ERROR iptables -N fail2ban-ultrasurf
iptables -A fail2ban-ultrasurf -j RETURN
iptables -I INPUT -j fail2ban-ultrasurf
iptables -I FORWARD -j fail2ban-ultrasurf returned 400
O que seria essa falha?
Mensagem
Fiz todos procedimentos com exceção do email e ao olhar o log aparece isso.
Restarting authentication failure monitor: fail2ban.
serverlinux:/etc/fail2ban/action.d# tail -f /var/log/fail2ban.log
2012-01-20 15:10:39,535 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-01-20 15:10:39,536 fail2ban.filter : INFO Set maxRetry = 6
2012-01-20 15:10:39,538 fail2ban.filter : INFO Set findtime = 600
2012-01-20 15:10:39,539 fail2ban.actions: INFO Set banTime = 600
2012-01-20 15:10:39,659 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-01-20 15:10:39,661 fail2ban.jail : INFO Jail 'ssh' started
2012-01-20 15:10:39,684 fail2ban.actions.action: ERROR iptables -N fail2ban-ultrasurf
iptables -A fail2ban-ultrasurf -j RETURN
iptables -I INPUT -j fail2ban-ultrasurf
iptables -I FORWARD -j fail2ban-ultrasurf returned 400
O que seria essa falha?
Mensagem
Flavio, pode ser algum problema no arquivo /etc/fail2ban/action.d/iptables-ultrasurf.local
Recomendo que faça o download da configuração no link http://www.dotsharp.com.br/download/conf-fail2ban-ultrasurf.tar.gz
E compare com a sua para saber se existe algo errado.
Rodrigo
Excelente artigo,
Meus parabéns funciona!
Grande Abraço
Mensagem
Excelente artigo,
Meus parabéns funciona!
Grande Abraço
Rodrigo
Caso o artigo precise de correções, descreva a página, como está e como quer que fique.
Envie para meu e-mail que farei as correções necessárias. OK?
E-mail em meu perfil.
Mensagem
Rodrigo
Caso o artigo precise de correções, descreva a página, como está e como quer que fique.
Envie para meu e-mail que farei as correções necessárias. OK?
E-mail em meu perfil.
Izaias,
Obrigado, eu enviei um email para o Leandro que fez a moderação inicial.
Vocês estão de parabéns.
Rodrigo
Mensagem
Izaias,
Obrigado, eu enviei um email para o Leandro que fez a moderação inicial.
Vocês estão de parabéns.
Rodrigo
Ótimo!
Assunto resolvido.
Um abraço.
Mensagem
Ótimo!
Assunto resolvido.
Um abraço.
Estão de parabéns resolveu meu problema com o ultrasurf.
Mensagem
Estão de parabéns resolveu meu problema com o ultrasurf.
Boa Tarde,
Obrigado Rodrigo, deu certo.
Mensagem
Boa Tarde,
Obrigado Rodrigo, deu certo.
Mensagem
Parabéns, bem melhor do que a solução que tinha proposto em um tutorial:
http://www.vivaolinux.com.br/artigo/Bloqueando-o-UltraSurf-e-o-WebMessenger-do-Hotmail-com-Proxy-Transparente-(Atualizado-para-o-UltraSurf-10.05)
Muito simples e eficaz, testado e aprovado.
Rodrigo,
Percebi que o erro que relatei acima, aparece quando acrescento a linha para envio de email.
Não consegui fazer funcionar com os dois "banaction" se ele barra não envia email, se envia email não barra, se coloco os dois juntos ele retorna o erro.
O que poderia ser.
Abraço.
Mensagem
Rodrigo,
Percebi que o erro que relatei acima, aparece quando acrescento a linha para envio de email.
Não consegui fazer funcionar com os dois "banaction" se ele barra não envia email, se envia email não barra, se coloco os dois juntos ele retorna o erro.
O que poderia ser.
Abraço.
Muito boa a solução, quem sabe poderei testar em outro ambiente de trabalho, aqui o pessoal já comprou uma aplicação absurdamente cara para isso. ;(
Mensagem
Muito boa a solução, quem sabe poderei testar em outro ambiente de trabalho, aqui o pessoal já comprou uma aplicação absurdamente cara para isso. ;(
É Jefferson, infelizmente na maioria das vezes só somos consultados quando já é tarde.
Flavio, te mandei uma mensagem em pvt.
Valeu Irineu, grande abraço.
Obrigado Deivid.
Mensagem
É Jefferson, infelizmente na maioria das vezes só somos consultados quando já é tarde.
Flavio, te mandei uma mensagem em pvt.
Valeu Irineu, grande abraço.
Obrigado Deivid.
Boa tarde Galera !
ótimo post Rodrigo, gostaria de parabenizá-lo, queria perguntar se funciona para todas as versões do ultrasurf até a 11.03 que vc testou, ainda ñ tive tento de implementar sua dica, más fica essa pergunta, se alguém poder responder !
Valew !
Mensagem
Boa tarde Galera !
ótimo post Rodrigo, gostaria de parabenizá-lo, queria perguntar se funciona para todas as versões do ultrasurf até a 11.03 que vc testou, ainda ñ tive tento de implementar sua dica, más fica essa pergunta, se alguém poder responder !
Valew !
Caro Jorge.
Eu fiz o teste com a versão 11.03 do UltraSurf, porém deve funcionar em todas.
Eu recebi diversos email de pessoas falando que estão usando e que está dando certo.
abs,
Rodrigo
Mensagem
Caro Jorge.
Eu fiz o teste com a versão 11.03 do UltraSurf, porém deve funcionar em todas.
Eu recebi diversos email de pessoas falando que estão usando e que está dando certo.
abs,
Rodrigo
Eh isso ai rodrigo, o que vale não é apenas o conhecimento técnico para resolver e sim as idéias utilizando ferramentas boas e omelhor voce tem os dois conhecimento técnico e boas idéias, essa foi uma idéia bem opensource. Está de parabéns !
Mensagem
Eh isso ai rodrigo, o que vale não é apenas o conhecimento técnico para resolver e sim as idéias utilizando ferramentas boas e omelhor voce tem os dois conhecimento técnico e boas idéias, essa foi uma idéia bem opensource. Está de parabéns !
Gostei dessa opção, muito boa por sinal. Pena q num dá pra testar no meu ambiente de produção pq aki não mexe com proxy transparente...
Mensagem
Gostei dessa opção, muito boa por sinal. Pena q num dá pra testar no meu ambiente de produção pq aki não mexe com proxy transparente...
Bom dia,
parabéns pelo tutorial. Execultei todo tutorial que é bem claro mas, eu estou com algumas dificuldades, pois não consegui fazer funcionar. Este e o log do fail2band abaixo e também quando olho no status do programa ele está com falha e não faz bloquei nenhum. Utilizo: Debian Linux servidor 2.6.32-5-amd64 #1.
___________________________________________________
root@servidor:~# /etc/init.d/fail2ban status
Status of authentication failure monitor:fail2ban is running
___________________________________________________
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-13 10:18:12,535 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,535 fail2ban.actions: INFO Set banTime = 900
2012-06-13 10:18:12,538 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-13 10:18:12,539 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-13 10:18:12,539 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-13 10:18:12,539 fail2ban.filter : INFO Set maxRetry = 6
2012-06-13 10:18:12,540 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,540 fail2ban.actions: INFO Set banTime = 600
2012-06-13 10:18:12,609 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-13 10:18:12,611 fail2ban.jail : INFO Jail 'ssh' started
_______________________________________________________
Grato.
Mensagem
Bom dia,
parabéns pelo tutorial. Execultei todo tutorial que é bem claro mas, eu estou com algumas dificuldades, pois não consegui fazer funcionar. Este e o log do fail2band abaixo e também quando olho no status do programa ele está com falha e não faz bloquei nenhum. Utilizo: Debian Linux servidor 2.6.32-5-amd64 #1.
___________________________________________________
root@servidor:~# /etc/init.d/fail2ban status
Status of authentication failure monitor:fail2ban is running
___________________________________________________
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-13 10:18:12,535 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,535 fail2ban.actions: INFO Set banTime = 900
2012-06-13 10:18:12,538 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-13 10:18:12,539 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-13 10:18:12,539 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-13 10:18:12,539 fail2ban.filter : INFO Set maxRetry = 6
2012-06-13 10:18:12,540 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,540 fail2ban.actions: INFO Set banTime = 600
2012-06-13 10:18:12,609 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-13 10:18:12,611 fail2ban.jail : INFO Jail 'ssh' started
_______________________________________________________
Grato.
[20] Comentário enviado por regismeneses em 13/06/2012 - 11:48h:
Bom dia,
parabéns pelo tutorial. Execultei todo tutorial que é bem claro mas, eu estou com algumas dificuldades, pois não consegui fazer funcionar. Este e o log do fail2band abaixo e também quando olho no status do programa ele está com falha e não faz bloquei nenhum. Utilizo: Debian Linux servidor 2.6.32-5-amd64 #1.
___________________________________________________
root@servidor:~# /etc/init.d/fail2ban status
Status of authentication failure monitor:fail2ban is running
___________________________________________________
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-13 10:18:12,535 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,535 fail2ban.actions: INFO Set banTime = 900
2012-06-13 10:18:12,538 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-13 10:18:12,539 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-13 10:18:12,539 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-13 10:18:12,539 fail2ban.filter : INFO Set maxRetry = 6
2012-06-13 10:18:12,540 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,540 fail2ban.actions: INFO Set banTime = 600
2012-06-13 10:18:12,609 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-13 10:18:12,611 fail2ban.jail : INFO Jail 'ssh' started
_______________________________________________________
Grato.
Opa Regis, tudo bem?
No /var/log/messages o iptables está gravando os logs dos acessos?
Pode ser algum detalhe no iptables, me manda o /var/log/messages que vamos tentando resolver juntos.
abs,
Rodrigo
Mensagem
[quote]
[20] Comentário enviado por regismeneses em 13/06/2012 - 11:48h:
Bom dia,
parabéns pelo tutorial. Execultei todo tutorial que é bem claro mas, eu estou com algumas dificuldades, pois não consegui fazer funcionar. Este e o log do fail2band abaixo e também quando olho no status do programa ele está com falha e não faz bloquei nenhum. Utilizo: Debian Linux servidor 2.6.32-5-amd64 #1.
___________________________________________________
root@servidor:~# /etc/init.d/fail2ban status
Status of authentication failure monitor:fail2ban is running
___________________________________________________
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-13 10:18:12,535 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,535 fail2ban.actions: INFO Set banTime = 900
2012-06-13 10:18:12,538 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-13 10:18:12,539 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-13 10:18:12,539 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-13 10:18:12,539 fail2ban.filter : INFO Set maxRetry = 6
2012-06-13 10:18:12,540 fail2ban.filter : INFO Set findtime = 600
2012-06-13 10:18:12,540 fail2ban.actions: INFO Set banTime = 600
2012-06-13 10:18:12,609 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-13 10:18:12,611 fail2ban.jail : INFO Jail 'ssh' started
_______________________________________________________
Grato.[/quote]
Opa Regis, tudo bem?
No /var/log/messages o iptables está gravando os logs dos acessos?
Pode ser algum detalhe no iptables, me manda o /var/log/messages que vamos tentando resolver juntos.
abs,
Rodrigo
Bom dia, Rodrigo.
O log está ai, pelo que vi realmente não está armazenando os logs do iptables.
Também postei meu firewall para você ver se está errado.
root@servidor:~# tail -f /var/log/messages
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:42 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:44 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
__________________________________________________________________________________________________________________________
#!/bin/sh
# Configuracacao Firewall
iniciar() {
interfaceWAN=eth0
interfaceLAN=eth1
ipRede=192.168.10.0/24
dns1=192.168.10.1
dns2=201.10.128.3
dns3=201.10.120.3
ListMACs=/usr/local/MACList
echo "|> Ativando novas regras de firewall..."
echo "|-->> Compartilhando a conexão com a Internet..."
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $interfaceWAN -j MASQUERADE
# Redirecionando requisição para um host da rede local
# iptables -t nat -A PREROUTING -i $interfaceWAN -p tcp --dport 5900 -j DNAT --to-dest 192.168.1.100:5900
echo "|-->> Gerando log do UltraSurf..."
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
echo "|-->> Bloqueando ataques mais conhecidos..."
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo "|-->> Bloqueando scanners de portas..."
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
echo "|-->> Bloqueando downloads de redes P2P..."
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j LOG --log-legel 1 --log-prefix "Acesso P2P: "
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT
#echo "|-->> Limitando conexões simultâneas..."
#iptables -v -t mangle -A CONNLIMIT -p tcp -m connlimit –connlimit-above 17 –connlimit-mask 32 -j DROP
echo "|-->> Liberando acesso sem proxy à Internet para a(s) máquina(s)..."
for i in `cat $ListMACs | egrep -v "^[#;]"`; do
proxyObrigatorio=`echo $i | cut -d ';' -f 2`
mac=`echo $i | cut -d ';' -f 3`
maquina=`echo $i | cut -d ';' -f 5`
if [ $proxyObrigatorio = 1 ]; then
echo -e "|--|--> $mac - $maquina"
iptables -A FORWARD -j ACCEPT -m mac --mac-source $mac -p tcp --dport 80
iptables -A FORWARD -j ACCEPT -m mac --mac-source $mac -p tcp --dport 443
fi
done
echo "|-->> Bloqueando acesso à Internet para as demais máquinas sem proxy..."
iptables -A FORWARD -j DROP -s $ipRede -p tcp --dport 80
iptables -A FORWARD -j DROP -s $ipRede -p tcp --dport 443
echo "|-->> Liberando acesso para a interface de loopback..."
iptables -A INPUT -i lo -j ACCEPT
echo "|-->> Liberando acesso SSH..."
iptables -A INPUT -p tcp --dport 2223 -j ACCEPT
echo "|-->> Controlando acesso à rede para os endereços:"
for i in `cat $ListMACs | egrep -v "^[#;]"`; do
status=`echo $i | cut -d ';' -f 1`
mac=`echo $i | cut -d ';' -f 3`
maquina=`echo $i | cut -d ';' -f 5`
if [ $status = 0 ]; then
echo -e "|--|--> LIBERANDO $mac - $maquina"
iptables -A INPUT -m mac --mac-source $mac -j ACCEPT
fi
if [ $status = 1 ]; then
echo -e "|--|--> BLOQUEANDO $mac - $maquina"
iptables -A INPUT -m mac --mac-source $mac -j DROP
fi
done
echo "|-->> Bloqueando acesso ao Windows Live Messenger..."
iptables -A FORWARD -p tcp --dport 1080 -j REJECT
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d loginnet.password.com -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d hotmail.com -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d hotmail.com.br -j REJECT
iptables -A FORWARD -i eth1 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -i eth1 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -i eth1 -d 64.4.13.0/24 -j REJECT
iptables -A FORWARD -i eth1 -d login.live.com -j REJECT
iptables -A FORWARD -i eth1 -d login.passport.com -j REJECT
iptables -A FORWARD -i eth1 -d gateway.messenger.hotmail.com -j REJECT
echo "|-->> Liberando acesso ao cliente de e-mail Outlook..."
iptables -A FORWARD -p udp -s $ipRede -d $dns1 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $ipRede -d $dns2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $ipRede -d $dns3 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $dns1 --sport 53 -d $ipRede -j ACCEPT
iptables -A FORWARD -p udp -s $dns2 --sport 53 -d $ipRede -j ACCEPT
iptables -A FORWARD -p udp -s $dns3 --sport 53 -d $ipRede -j ACCEPT
echo "|-->> Liberando acesso às portas 25 (POP3), 110 (SMTP) e 143 (IMAP)..."
iptables -A FORWARD -p TCP -s $ipRede --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 110 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 143 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 995 -j ACCEPT
iptables -A FORWARD -p TCP --sport 25 -j ACCEPT
iptables -A FORWARD -p TCP --sport 110 -j ACCEPT
iptables -A FORWARD -p TCP --sport 143 -j ACCEPT
iptables -A FORWARD -p TCP --sport 995 -j ACCEPT
echo "|-->> Liberando acesso ao servidor Samba apenas na rede local..."
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT
echo "|-->> Liberando acesso FTP..."
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
echo "|-->> Bloqueando pings e protegendo contra IP spoofing e pacotes inválidos..."
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
echo "|-->> Concluindo bloqueios de acesso, negando todas as demais portas..."
iptables -A INPUT -p tcp --syn -j DROP
echo "x> Regras de firewall ativadas!"
}
parar() {
echo "|> Desativando as regras de firewall..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F
iptables -X
echo 0 > /proc/sys/net/ipv4/ip_forward
}
case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*) echo "Parâmetro incorreto! Use start, stop ou restart"
esac
___________________________________________________________________________________________________________________________
Grato.
Mensagem
Bom dia, Rodrigo.
O log está ai, pelo que vi realmente não está armazenando os logs do iptables.
Também postei meu firewall para você ver se está errado.
root@servidor:~# tail -f /var/log/messages
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:40 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:42 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
Jun 14 08:04:44 servidor smbd[19168]: leonardo.pupak|192.168.10.133|Seção Técnica|open|ok|r|SECTEC/01-CONTROLE DE LEVANTAMENTO/OAC
__________________________________________________________________________________________________________________________
#!/bin/sh
# Configuracacao Firewall
iniciar() {
interfaceWAN=eth0
interfaceLAN=eth1
ipRede=192.168.10.0/24
dns1=192.168.10.1
dns2=201.10.128.3
dns3=201.10.120.3
ListMACs=/usr/local/MACList
echo "|> Ativando novas regras de firewall..."
echo "|-->> Compartilhando a conexão com a Internet..."
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $interfaceWAN -j MASQUERADE
# Redirecionando requisição para um host da rede local
# iptables -t nat -A PREROUTING -i $interfaceWAN -p tcp --dport 5900 -j DNAT --to-dest 192.168.1.100:5900
echo "|-->> Gerando log do UltraSurf..."
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
echo "|-->> Bloqueando ataques mais conhecidos..."
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo "|-->> Bloqueando scanners de portas..."
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
echo "|-->> Bloqueando downloads de redes P2P..."
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j LOG --log-legel 1 --log-prefix "Acesso P2P: "
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT
#echo "|-->> Limitando conexões simultâneas..."
#iptables -v -t mangle -A CONNLIMIT -p tcp -m connlimit –connlimit-above 17 –connlimit-mask 32 -j DROP
echo "|-->> Liberando acesso sem proxy à Internet para a(s) máquina(s)..."
for i in `cat $ListMACs | egrep -v "^[#;]"`; do
proxyObrigatorio=`echo $i | cut -d ';' -f 2`
mac=`echo $i | cut -d ';' -f 3`
maquina=`echo $i | cut -d ';' -f 5`
if [ $proxyObrigatorio = 1 ]; then
echo -e "|--|--> $mac - $maquina"
iptables -A FORWARD -j ACCEPT -m mac --mac-source $mac -p tcp --dport 80
iptables -A FORWARD -j ACCEPT -m mac --mac-source $mac -p tcp --dport 443
fi
done
echo "|-->> Bloqueando acesso à Internet para as demais máquinas sem proxy..."
iptables -A FORWARD -j DROP -s $ipRede -p tcp --dport 80
iptables -A FORWARD -j DROP -s $ipRede -p tcp --dport 443
echo "|-->> Liberando acesso para a interface de loopback..."
iptables -A INPUT -i lo -j ACCEPT
echo "|-->> Liberando acesso SSH..."
iptables -A INPUT -p tcp --dport 2223 -j ACCEPT
echo "|-->> Controlando acesso à rede para os endereços:"
for i in `cat $ListMACs | egrep -v "^[#;]"`; do
status=`echo $i | cut -d ';' -f 1`
mac=`echo $i | cut -d ';' -f 3`
maquina=`echo $i | cut -d ';' -f 5`
if [ $status = 0 ]; then
echo -e "|--|--> LIBERANDO $mac - $maquina"
iptables -A INPUT -m mac --mac-source $mac -j ACCEPT
fi
if [ $status = 1 ]; then
echo -e "|--|--> BLOQUEANDO $mac - $maquina"
iptables -A INPUT -m mac --mac-source $mac -j DROP
fi
done
echo "|-->> Bloqueando acesso ao Windows Live Messenger..."
iptables -A FORWARD -p tcp --dport 1080 -j REJECT
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d loginnet.password.com -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d hotmail.com -j REJECT
iptables -I FORWARD -s 192.168.1.1/255.255.255.0 -d hotmail.com.br -j REJECT
iptables -A FORWARD -i eth1 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -i eth1 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -i eth1 -d 64.4.13.0/24 -j REJECT
iptables -A FORWARD -i eth1 -d login.live.com -j REJECT
iptables -A FORWARD -i eth1 -d login.passport.com -j REJECT
iptables -A FORWARD -i eth1 -d gateway.messenger.hotmail.com -j REJECT
echo "|-->> Liberando acesso ao cliente de e-mail Outlook..."
iptables -A FORWARD -p udp -s $ipRede -d $dns1 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $ipRede -d $dns2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $ipRede -d $dns3 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $dns1 --sport 53 -d $ipRede -j ACCEPT
iptables -A FORWARD -p udp -s $dns2 --sport 53 -d $ipRede -j ACCEPT
iptables -A FORWARD -p udp -s $dns3 --sport 53 -d $ipRede -j ACCEPT
echo "|-->> Liberando acesso às portas 25 (POP3), 110 (SMTP) e 143 (IMAP)..."
iptables -A FORWARD -p TCP -s $ipRede --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 110 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 143 -j ACCEPT
iptables -A FORWARD -p TCP -s $ipRede --dport 995 -j ACCEPT
iptables -A FORWARD -p TCP --sport 25 -j ACCEPT
iptables -A FORWARD -p TCP --sport 110 -j ACCEPT
iptables -A FORWARD -p TCP --sport 143 -j ACCEPT
iptables -A FORWARD -p TCP --sport 995 -j ACCEPT
echo "|-->> Liberando acesso ao servidor Samba apenas na rede local..."
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT
echo "|-->> Liberando acesso FTP..."
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
echo "|-->> Bloqueando pings e protegendo contra IP spoofing e pacotes inválidos..."
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
echo "|-->> Concluindo bloqueios de acesso, negando todas as demais portas..."
iptables -A INPUT -p tcp --syn -j DROP
echo "x> Regras de firewall ativadas!"
}
parar() {
echo "|> Desativando as regras de firewall..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F
iptables -X
echo 0 > /proc/sys/net/ipv4/ip_forward
}
case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*) echo "Parâmetro incorreto! Use start, stop ou restart"
esac
___________________________________________________________________________________________________________________________
Grato.
Regis, obrigado pelas informações.
Aparentemente está tudo certinho, só tenho uma sugestão
Adiciona no seu script as seguintes linhas
No começo da função PARAR
/etc/init.d/fail2ban stop
No começo da função INICIAR
/etc/init.d/fail2ban start
Me manda o resultado do comando
iptables -L FORWARD -nv
Você chegou a fazer teste com o ultrasurf na sua maquina?
Eu recomendo o seguinte teste
No servidor você roda o seguinte comando
tail -f /var/log/messages
Ele vai ficar monitorando o /var/log/messages e jogar o resultado na tela
Na sua maquina você abre o UltraSurf e verifica se ele será bloqueado ou não, vê o resultado do tail -f /var/log/messages se ele gravou alguma coisa lá.
abs,
Rodrigo
Mensagem
Regis, obrigado pelas informações.
Aparentemente está tudo certinho, só tenho uma sugestão
Adiciona no seu script as seguintes linhas
No começo da função PARAR
/etc/init.d/fail2ban stop
No começo da função INICIAR
/etc/init.d/fail2ban start
Me manda o resultado do comando
iptables -L FORWARD -nv
Você chegou a fazer teste com o ultrasurf na sua maquina?
Eu recomendo o seguinte teste
No servidor você roda o seguinte comando
tail -f /var/log/messages
Ele vai ficar monitorando o /var/log/messages e jogar o resultado na tela
Na sua maquina você abre o UltraSurf e verifica se ele será bloqueado ou não, vê o resultado do tail -f /var/log/messages se ele gravou alguma coisa lá.
abs,
Rodrigo
Opa, olha o resultado ai...
testei aki e deu certinho tá barrando mas não
mostra os logs no #tail -f /etc/var/fail2ban.
root@servidor:~# iptables -L FORWARD -nv
Chain FORWARD (policy ACCEPT 402 packets, 87275 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.183 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.167 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.151 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.135 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.151 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.135 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.183 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.167 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 50.57.34.52 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 192.168.1.0/24 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
719 157K fail2ban-ultrasurf all -- * * 0.0.0.0/0 0.0 .0.0/0
0 0 LOG all -- * * 0.0.0.0/0 65.49.14.0/2 4 LOG flags 0 level 4 prefix `=UltraSurf= '
90 19610 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
1 40 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 REJECT all -- * * 0.0.0.0/0 216.35.208.0 /24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 209.61.186.0 /24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 64.49.201.0/ 24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 209.25.178.0 /24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 206.142.53.0 /24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 213.248.112. 0/24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 64.245.58.0/ 23 reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:64:F0:C4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:64:F0:C4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:52:1C:BF tcp dpt:80
5 1970 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:52:1C:BF tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:33:4F:16:BD tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:33:4F:16:BD tcp dpt:443
15 11059 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:0E:09:F9:9D tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:0E:09:F9:9D tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC F4:8E:09:0B:CB:F3 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC F4:8E:09:0B:CB:F3 tcp dpt:443
70 19725 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:11:2F:C6:9F:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:11:2F:C6:9F:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC D8:75:33:C8:A2:86 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC D8:75:33:C8:A2:86 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:26:73:29:46:41 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:26:73:29:46:41 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC C8:9C:DC:48:20:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC C8:9C:DC:48:20:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 54:42:49:86:49:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 54:42:49:86:49:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 60:EB:69:2D:EE:13 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 60:EB:69:2D:EE:13 tcp dpt:443
113 15302 DROP tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:80
17 1168 DROP tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:443
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.76 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.97 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.13.0/24 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.16 9 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.17 7 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.17 9 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.10 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.17 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.19 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.10 7 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.13 6 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.96 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.52.62 reject-with icmp-port-unreachable
0 0 ACCEPT udp -- * * 192.168.10.0/24 192.168.10.1 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.0/24 201.10.128.3 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.0/24 201.10.120.3 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.1 192.168.10.0 /24 udp spt:53
0 0 ACCEPT udp -- * * 201.10.128.3 192.168.10.0 /24 udp spt:53
0 0 ACCEPT udp -- * * 201.10.120.3 192.168.10.0 /24 udp spt:53
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:995
Mensagem
Opa, olha o resultado ai...
testei aki e deu certinho tá barrando mas não
mostra os logs no #tail -f /etc/var/fail2ban.
root@servidor:~# iptables -L FORWARD -nv
Chain FORWARD (policy ACCEPT 402 packets, 87275 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.183 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.167 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.151 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.135 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.151 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.135 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.183 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 65.55.72.167 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 192.168.1.0/24 50.57.34.52 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 192.168.1.0/24 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
719 157K fail2ban-ultrasurf all -- * * 0.0.0.0/0 0.0 .0.0/0
0 0 LOG all -- * * 0.0.0.0/0 65.49.14.0/2 4 LOG flags 0 level 4 prefix `=UltraSurf= '
90 19610 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
1 40 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 REJECT all -- * * 0.0.0.0/0 216.35.208.0 /24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 209.61.186.0 /24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 64.49.201.0/ 24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 209.25.178.0 /24 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 206.142.53.0 /24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 213.248.112. 0/24 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 64.245.58.0/ 23 reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:64:F0:C4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:64:F0:C4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:52:1C:BF tcp dpt:80
5 1970 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 70:71:BC:52:1C:BF tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:33:4F:16:BD tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:33:4F:16:BD tcp dpt:443
15 11059 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:0E:09:F9:9D tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:0E:09:F9:9D tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC F4:8E:09:0B:CB:F3 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC F4:8E:09:0B:CB:F3 tcp dpt:443
70 19725 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:11:2F:C6:9F:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:11:2F:C6:9F:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC D8:75:33:C8:A2:86 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC D8:75:33:C8:A2:86 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:26:73:29:46:41 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:26:73:29:46:41 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC C8:9C:DC:48:20:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC C8:9C:DC:48:20:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 54:42:49:86:49:F4 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 54:42:49:86:49:F4 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 60:EB:69:2D:EE:13 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MAC 60:EB:69:2D:EE:13 tcp dpt:443
113 15302 DROP tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:80
17 1168 DROP tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:443
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1080 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.76 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.97 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.13.0/24 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.16 9 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.17 7 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.17 9 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.10 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.17 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.19 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.186.10 7 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.165.13 6 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 64.4.12.96 reject-with icmp-port-unreachable
0 0 REJECT all -- eth1 * 0.0.0.0/0 65.54.52.62 reject-with icmp-port-unreachable
0 0 ACCEPT udp -- * * 192.168.10.0/24 192.168.10.1 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.0/24 201.10.128.3 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.0/24 201.10.120.3 udp dpt:53
0 0 ACCEPT udp -- * * 192.168.10.1 192.168.10.0 /24 udp spt:53
0 0 ACCEPT udp -- * * 201.10.128.3 192.168.10.0 /24 udp spt:53
0 0 ACCEPT udp -- * * 201.10.120.3 192.168.10.0 /24 udp spt:53
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:995
Se está bloqueando ótimo, então está funcionando.
O log ficar em /var/log/fail2ban.log você colocou que tentou ver o log em /etc/var/fail2ban
Vai aparecer algo desse tipo
2012-06-12 22:10:22,023 fail2ban.actions: WARNING [ultrasurf] Ban 172.21.201.188
2012-06-12 22:40:22,319 fail2ban.actions: WARNING [ultrasurf] Unban 172.21.201.188
2012-06-15 08:25:08,624 fail2ban.actions: WARNING [ultrasurf] Ban 172.23.134.80
2012-06-15 08:55:08,836 fail2ban.actions: WARNING [ultrasurf] Unban 172.23.134.80
abs
Mensagem
Se está bloqueando ótimo, então está funcionando.
O log ficar em /var/log/fail2ban.log você colocou que tentou ver o log em /etc/var/fail2ban
Vai aparecer algo desse tipo
2012-06-12 22:10:22,023 fail2ban.actions: WARNING [ultrasurf] Ban 172.21.201.188
2012-06-12 22:40:22,319 fail2ban.actions: WARNING [ultrasurf] Unban 172.21.201.188
2012-06-15 08:25:08,624 fail2ban.actions: WARNING [ultrasurf] Ban 172.23.134.80
2012-06-15 08:55:08,836 fail2ban.actions: WARNING [ultrasurf] Unban 172.23.134.80
abs
Bom dia, Rodrigo.
O log que aparece em /var/log/fail2ban.log é este abaixo. Eu falei que estava
bloqueando, mas fui observar ele parou apenas meu computador quando tentei
acessar um site pelo ip 64.49.14.11:443, agora o computador de outros usuário
não barrou.
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-18 08:13:48,381 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,381 fail2ban.actions: INFO Set banTime = 900
2012-06-18 08:13:48,384 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-18 08:13:48,384 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-18 08:13:48,385 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-18 08:13:48,385 fail2ban.filter : INFO Set maxRetry = 6
2012-06-18 08:13:48,386 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,386 fail2ban.actions: INFO Set banTime = 600
2012-06-18 08:13:48,455 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-18 08:13:48,457 fail2ban.jail : INFO Jail 'ssh' started
Grato.
Mensagem
Bom dia, Rodrigo.
O log que aparece em /var/log/fail2ban.log é este abaixo. Eu falei que estava
bloqueando, mas fui observar ele parou apenas meu computador quando tentei
acessar um site pelo ip 64.49.14.11:443, agora o computador de outros usuário
não barrou.
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-18 08:13:48,381 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,381 fail2ban.actions: INFO Set banTime = 900
2012-06-18 08:13:48,384 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-18 08:13:48,384 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-18 08:13:48,385 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-18 08:13:48,385 fail2ban.filter : INFO Set maxRetry = 6
2012-06-18 08:13:48,386 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,386 fail2ban.actions: INFO Set banTime = 600
2012-06-18 08:13:48,455 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-18 08:13:48,457 fail2ban.jail : INFO Jail 'ssh' started
Grato.
[26] Comentário enviado por regismeneses em 18/06/2012 - 08:22h:
Bom dia, Rodrigo.
O log que aparece em /var/log/fail2ban.log é este abaixo. Eu falei que estava
bloqueando, mas fui observar ele parou apenas meu computador quando tentei
acessar um site pelo ip 64.49.14.11:443, agora o computador de outros usuário
não barrou.
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-18 08:13:48,381 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,381 fail2ban.actions: INFO Set banTime = 900
2012-06-18 08:13:48,384 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-18 08:13:48,384 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-18 08:13:48,385 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-18 08:13:48,385 fail2ban.filter : INFO Set maxRetry = 6
2012-06-18 08:13:48,386 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,386 fail2ban.actions: INFO Set banTime = 600
2012-06-18 08:13:48,455 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-18 08:13:48,457 fail2ban.jail : INFO Jail 'ssh' started
Grato.
Opa Regis, tudo bem?
Não entendi, você usou o UltraSurf para fazer o teste ou digitou o endereço direto no navegador?
Você colocou as linhas abaixo no seu script?
No começo da função PARAR
/etc/init.d/fail2ban stop
No começo da função INICIAR
/etc/init.d/fail2ban start
abs
Mensagem
[quote]
[26] Comentário enviado por regismeneses em 18/06/2012 - 08:22h:
Bom dia, Rodrigo.
O log que aparece em /var/log/fail2ban.log é este abaixo. Eu falei que estava
bloqueando, mas fui observar ele parou apenas meu computador quando tentei
acessar um site pelo ip 64.49.14.11:443, agora o computador de outros usuário
não barrou.
root@servidor:~# tail -f /var/log/fail2ban.log
2012-06-18 08:13:48,381 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,381 fail2ban.actions: INFO Set banTime = 900
2012-06-18 08:13:48,384 fail2ban.jail : INFO Creating new jail 'ssh'
2012-06-18 08:13:48,384 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-06-18 08:13:48,385 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-06-18 08:13:48,385 fail2ban.filter : INFO Set maxRetry = 6
2012-06-18 08:13:48,386 fail2ban.filter : INFO Set findtime = 600
2012-06-18 08:13:48,386 fail2ban.actions: INFO Set banTime = 600
2012-06-18 08:13:48,455 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-06-18 08:13:48,457 fail2ban.jail : INFO Jail 'ssh' started
Grato.[/quote]
Opa Regis, tudo bem?
Não entendi, você usou o UltraSurf para fazer o teste ou digitou o endereço direto no navegador?
Você colocou as linhas abaixo no seu script?
No começo da função PARAR
/etc/init.d/fail2ban stop
No começo da função INICIAR
/etc/init.d/fail2ban start
abs
Belo artigo, parabéns Rodrigo!
Olhando no meu LOG do Fail2ban, ao achar o UltraSurf, dá a seguinte mensagem:
2012-06-25 08:14:49,098 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.0.118
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR iptables -n -L FORWARD | grep -q fail2ban-ultrasurf
iptables -n -L INPUT | grep -q fail2ban- returned 100
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-06-25 08:14:49,184 fail2ban.actions.action: ERROR iptables -D FORWARD -j fail2ban-ultrasurf
iptables -D INPUT -j fail2ban-ultrasurf
iptables -F fail2ban-ultrasurf
iptables -X fail2ban-ultrasurf returned 100
2012-06-25 08:29:49,249 fail2ban.actions: WARNING [ultrasurf] Unban 192.168.0.118
Testando, ele está fazendo o bloqueio, mas porque será q aparece estas mensagens de erro?
Mensagem
Belo artigo, parabéns Rodrigo!
Olhando no meu LOG do Fail2ban, ao achar o UltraSurf, dá a seguinte mensagem:
2012-06-25 08:14:49,098 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.0.118
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR iptables -n -L FORWARD | grep -q fail2ban-ultrasurf
iptables -n -L INPUT | grep -q fail2ban- returned 100
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-06-25 08:14:49,184 fail2ban.actions.action: ERROR iptables -D FORWARD -j fail2ban-ultrasurf
iptables -D INPUT -j fail2ban-ultrasurf
iptables -F fail2ban-ultrasurf
iptables -X fail2ban-ultrasurf returned 100
2012-06-25 08:29:49,249 fail2ban.actions: WARNING [ultrasurf] Unban 192.168.0.118
Testando, ele está fazendo o bloqueio, mas porque será q aparece estas mensagens de erro?
Bom dia, Rodrigo.
Eu digitei o endereço direto no navegador e ele bloqueou e fiz o teste com o programa e tmb funcionou.
Mas tem um usuário aqui que está conseguindo burlar com um plugin dentro do gmail,
se vc souber de alguma coisa assim me de uma luz. Pois esse plugin usa a mesmos endereços do ultrasurf.
ACCESSED SITE DATE TIME
65.49.14.93:443 26/06/2012 07:25:24
65.49.14.93:443 26/06/2012 07:45:27
Este log usei o sarg para ver o acesso.
Obrigado pela atenção!!!
Mensagem
Bom dia, Rodrigo.
Eu digitei o endereço direto no navegador e ele bloqueou e fiz o teste com o programa e tmb funcionou.
Mas tem um usuário aqui que está conseguindo burlar com um plugin dentro do gmail,
se vc souber de alguma coisa assim me de uma luz. Pois esse plugin usa a mesmos endereços do ultrasurf.
ACCESSED SITE DATE TIME
65.49.14.93:443 26/06/2012 07:25:24
65.49.14.93:443 26/06/2012 07:45:27
Este log usei o sarg para ver o acesso.
Obrigado pela atenção!!!
Bom, é mais uma alternativa, todavia sempre utilizo o proxy não transparente, é menos provavel erros e acredito que mais seguro...
Mensagem
Bom, é mais uma alternativa, todavia sempre utilizo o proxy não transparente, é menos provavel erros e acredito que mais seguro...
[28] Comentário enviado por gleysonhp em 22/06/2012 - 12:02h:
Belo artigo, parabéns Rodrigo!
Olhando no meu LOG do Fail2ban, ao achar o UltraSurf, dá a seguinte mensagem:
2012-06-25 08:14:49,098 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.0.118
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR iptables -n -L FORWARD | grep -q fail2ban-ultrasurf
iptables -n -L INPUT | grep -q fail2ban- returned 100
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-06-25 08:14:49,184 fail2ban.actions.action: ERROR iptables -D FORWARD -j fail2ban-ultrasurf
iptables -D INPUT -j fail2ban-ultrasurf
iptables -F fail2ban-ultrasurf
iptables -X fail2ban-ultrasurf returned 100
2012-06-25 08:29:49,249 fail2ban.actions: WARNING [ultrasurf] Unban 192.168.0.118
Testando, ele está fazendo o bloqueio, mas porque será q aparece estas mensagens de erro?
Gleyson, bom dia.
Ele normalmente dá esse erro quando você roda o seu script de firewall e ele apaga as chains e regras.
Para resolver o problema adicione as seguintes linhas no seu script
Você colocou as linhas abaixo no seu script?
No começo do script
/etc/init.d/fail2ban stop
No final do script
/etc/init.d/fail2ban start
Espero que resolva.
abs,
Rodrigo
Mensagem
[quote]
[28] Comentário enviado por gleysonhp em 22/06/2012 - 12:02h:
Belo artigo, parabéns Rodrigo!
Olhando no meu LOG do Fail2ban, ao achar o UltraSurf, dá a seguinte mensagem:
2012-06-25 08:14:49,098 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.0.118
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR iptables -n -L FORWARD | grep -q fail2ban-ultrasurf
iptables -n -L INPUT | grep -q fail2ban- returned 100
2012-06-25 08:14:49,128 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-06-25 08:14:49,184 fail2ban.actions.action: ERROR iptables -D FORWARD -j fail2ban-ultrasurf
iptables -D INPUT -j fail2ban-ultrasurf
iptables -F fail2ban-ultrasurf
iptables -X fail2ban-ultrasurf returned 100
2012-06-25 08:29:49,249 fail2ban.actions: WARNING [ultrasurf] Unban 192.168.0.118
Testando, ele está fazendo o bloqueio, mas porque será q aparece estas mensagens de erro?[/quote]
Gleyson, bom dia.
Ele normalmente dá esse erro quando você roda o seu script de firewall e ele apaga as chains e regras.
Para resolver o problema adicione as seguintes linhas no seu script
Você colocou as linhas abaixo no seu script?
No começo do script
/etc/init.d/fail2ban stop
No final do script
/etc/init.d/fail2ban start
Espero que resolva.
abs,
Rodrigo
[29] Comentário enviado por regismeneses em 26/06/2012 - 10:38h:
Bom dia, Rodrigo.
Eu digitei o endereço direto no navegador e ele bloqueou e fiz o teste com o programa e tmb funcionou.
Mas tem um usuário aqui que está conseguindo burlar com um plugin dentro do gmail,
se vc souber de alguma coisa assim me de uma luz. Pois esse plugin usa a mesmos endereços do ultrasurf.
ACCESSED SITE DATE TIME
65.49.14.93:443 26/06/2012 07:25:24
65.49.14.93:443 26/06/2012 07:45:27
Este log usei o sarg para ver o acesso.
Obrigado pela atenção!!!
Regis, dá um prêmio pra esse usuário, kkkk
O prêmio que eu dou para esse tipo de usuário que não para de buscar formas de burlar o sistema é tirar todo o acesso dele a Internet, ai espero ele reclamar, de preferência por email com cópia para o chefe dele. Ai respondo com uma explicação sobre os motivos do bloqueio. Resolve que é uma maravilha, rsrsrs
Então, se ele tá usando um plugin no gmail (Não conheço) você pode bloquear os IPs via ACL do Squid
Se você descobrir qual é esse plugin me avisa, vou fazer uns testes por aqui.
abs,
Rodrigo
Mensagem
[quote]
[29] Comentário enviado por regismeneses em 26/06/2012 - 10:38h:
Bom dia, Rodrigo.
Eu digitei o endereço direto no navegador e ele bloqueou e fiz o teste com o programa e tmb funcionou.
Mas tem um usuário aqui que está conseguindo burlar com um plugin dentro do gmail,
se vc souber de alguma coisa assim me de uma luz. Pois esse plugin usa a mesmos endereços do ultrasurf.
ACCESSED SITE DATE TIME
65.49.14.93:443 26/06/2012 07:25:24
65.49.14.93:443 26/06/2012 07:45:27
Este log usei o sarg para ver o acesso.
Obrigado pela atenção!!![/quote]
Regis, dá um prêmio pra esse usuário, kkkk
O prêmio que eu dou para esse tipo de usuário que não para de buscar formas de burlar o sistema é tirar todo o acesso dele a Internet, ai espero ele reclamar, de preferência por email com cópia para o chefe dele. Ai respondo com uma explicação sobre os motivos do bloqueio. Resolve que é uma maravilha, rsrsrs
Então, se ele tá usando um plugin no gmail (Não conheço) você pode bloquear os IPs via ACL do Squid
Se você descobrir qual é esse plugin me avisa, vou fazer uns testes por aqui.
abs,
Rodrigo
[30] Comentário enviado por phrich em 29/06/2012 - 12:38h:
Bom, é mais uma alternativa, todavia sempre utilizo o proxy não transparente, é menos provavel erros e acredito que mais seguro...
Isso é verdade, proxy não transparente é muito mais seguro, eu também prefiro, porém dependendo do ambiente fica muito trabalhoso para os técnicos e usuário, por exemplo usuários que cada dia está em uma unidade diferente.
Lógico que existem formas de minimizar os impactos.
Bom fica a diga do nosso amigo.
Analise o seu ambiente e veja a melhor forma, sabendo que o proxy não transparente permite um melhor controle.
Forte abraços a todos.
Mensagem
[quote]
[30] Comentário enviado por phrich em 29/06/2012 - 12:38h:
Bom, é mais uma alternativa, todavia sempre utilizo o proxy não transparente, é menos provavel erros e acredito que mais seguro...[/quote]
Isso é verdade, proxy não transparente é muito mais seguro, eu também prefiro, porém dependendo do ambiente fica muito trabalhoso para os técnicos e usuário, por exemplo usuários que cada dia está em uma unidade diferente.
Lógico que existem formas de minimizar os impactos.
Bom fica a diga do nosso amigo.
Analise o seu ambiente e veja a melhor forma, sabendo que o proxy não transparente permite um melhor controle.
Forte abraços a todos.
Aqui está gerando esse erro ao iniciar o serviço.
voce poderia me ajudar ?
Starting fail2ban:
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'ultrasurf'. Using default value
ERROR Error in action definition
ERROR Errors in jail 'ultrasurf'. Skipping...
Mensagem
Aqui está gerando esse erro ao iniciar o serviço.
voce poderia me ajudar ?
Starting fail2ban:
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'ultrasurf'. Using default value
ERROR Error in action definition
ERROR Errors in jail 'ultrasurf'. Skipping...
Obrigado Rodrigo, era isso mesmo... esta funfando que uma beleza! (-:
Depois de alguns anos bloqueando esta praga na minha rede, acredito que esta é realmente a melhor forma de bloqueio... e eu ainda bloqueio pelo Squid + DansGuardian, quero ver passar pelo meu servidor! rsrs..
Parabéns novamente pelo artigo, nota 10!
Mensagem
Obrigado Rodrigo, era isso mesmo... esta funfando que uma beleza! (-:
Depois de alguns anos bloqueando esta praga na minha rede, acredito que esta é realmente a melhor forma de bloqueio... e eu ainda bloqueio pelo Squid + DansGuardian, quero ver passar pelo meu servidor! rsrs..
Parabéns novamente pelo artigo, nota 10!
[34] Comentário enviado por rootroot em 02/07/2012 - 22:42h:
Aqui está gerando esse erro ao iniciar o serviço.
voce poderia me ajudar ?
Starting fail2ban:
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'ultrasurf'. Using default value
ERROR Error in action definition
ERROR Errors in jail 'ultrasurf'. Skipping...
Você usa CentOS?
Se for você precisa alterar a linha "banaction = iptables-ultrasurf" por "action = iptables-ultrasurf"
abs
Mensagem
[quote]
[34] Comentário enviado por rootroot em 02/07/2012 - 22:42h:
Aqui está gerando esse erro ao iniciar o serviço.
voce poderia me ajudar ?
Starting fail2ban:
WARNING 'action' not defined in 'php-url-fopen'. Using default value
WARNING 'action' not defined in 'ultrasurf'. Using default value
ERROR Error in action definition
ERROR Errors in jail 'ultrasurf'. Skipping...
[/quote]
Você usa CentOS?
Se for você precisa alterar a linha "banaction = iptables-ultrasurf" por "action = iptables-ultrasurf"
abs
[35] Comentário enviado por gleysonhp em 03/07/2012 - 21:04h:
Obrigado Rodrigo, era isso mesmo... esta funfando que uma beleza! (-:
Depois de alguns anos bloqueando esta praga na minha rede, acredito que esta é realmente a melhor forma de bloqueio... e eu ainda bloqueio pelo Squid + DansGuardian, quero ver passar pelo meu servidor! rsrs..
Parabéns novamente pelo artigo, nota 10!
É isso ai, precisando é só falar.
abs
Mensagem
[quote]
[35] Comentário enviado por gleysonhp em 03/07/2012 - 21:04h:
Obrigado Rodrigo, era isso mesmo... esta funfando que uma beleza! (-:
Depois de alguns anos bloqueando esta praga na minha rede, acredito que esta é realmente a melhor forma de bloqueio... e eu ainda bloqueio pelo Squid + DansGuardian, quero ver passar pelo meu servidor! rsrs..
Parabéns novamente pelo artigo, nota 10![/quote]
É isso ai, precisando é só falar.
abs
Eu uso slackware
corrigi e deu certo, agora só não gera log nem bloqueio.
Vou continuar tentando aqui...
Mensagem
Eu uso slackware
corrigi e deu certo, agora só não gera log nem bloqueio.
Vou continuar tentando aqui...
[38] Comentário enviado por rootroot em 04/07/2012 - 01:43h:
Eu uso slackware
corrigi e deu certo, agora só não gera log nem bloqueio.
Vou continuar tentando aqui...
Bacana, então essa alteração também é necessária no Slackware, vou anotar aqui.
Se não tá gerando LOG pode ser a regra do iptables, confere as regras do FORWARD.
Confere se o Slackware grava o log do iptables no /var/log/messages, pode ser ele grave em outro arquivo.
abs
Mensagem
[quote]
[38] Comentário enviado por rootroot em 04/07/2012 - 01:43h:
Eu uso slackware
corrigi e deu certo, agora só não gera log nem bloqueio.
Vou continuar tentando aqui...[/quote]
Bacana, então essa alteração também é necessária no Slackware, vou anotar aqui.
Se não tá gerando LOG pode ser a regra do iptables, confere as regras do FORWARD.
Confere se o Slackware grava o log do iptables no /var/log/messages, pode ser ele grave em outro arquivo.
abs
Caro amigo, não sou muito de postar em fóruns mas gostaria muito de parabenizá-lo pela iniciativa. Me ajudou muito! Continue compartilhando o conhecimento e muitíssimo obrigado.
Mensagem
Caro amigo, não sou muito de postar em fóruns mas gostaria muito de parabenizá-lo pela iniciativa. Me ajudou muito! Continue compartilhando o conhecimento e muitíssimo obrigado.
Olá, estou tendo o seguinte erro aqui:
proxy:/etc/init.d# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban failed!
Parei e iniciei manualmente o fail2ban assim:
/etc/init.d/fail2ban stop
/etc/init.d/fail2ban start
mas seu eu der um tail -f /var/log/fail2ban.log ele nao está gravando e, o ultrasurf está abrindo normalmente aqui.
alguma sugestão ?
abraço:
Rodrigo Muzyka
Mensagem
Olá, estou tendo o seguinte erro aqui:
proxy:/etc/init.d# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban failed!
Parei e iniciei manualmente o fail2ban assim:
/etc/init.d/fail2ban stop
/etc/init.d/fail2ban start
mas seu eu der um tail -f /var/log/fail2ban.log ele nao está gravando e, o ultrasurf está abrindo normalmente aqui.
alguma sugestão ?
abraço:
Rodrigo Muzyka
[41] Comentário enviado por muzykaum em 15/08/2012 - 11:11h:
Olá, estou tendo o seguinte erro aqui:
proxy:/etc/init.d# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban failed!
Parei e iniciei manualmente o fail2ban assim:
/etc/init.d/fail2ban stop
/etc/init.d/fail2ban start
mas seu eu der um tail -f /var/log/fail2ban.log ele nao está gravando e, o ultrasurf está abrindo normalmente aqui.
alguma sugestão ?
abraço:
Rodrigo Muzyka
Rodrigo, tudo bem?
Qual a sua Distro?
No /var/log/messages apresenta algum erro?
Verifica pelo comando ps se o processo do fail2ban está rodando.
abs,
Rodrigo
Mensagem
[quote]
[41] Comentário enviado por muzykaum em 15/08/2012 - 11:11h:
Olá, estou tendo o seguinte erro aqui:
proxy:/etc/init.d# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban failed!
Parei e iniciei manualmente o fail2ban assim:
/etc/init.d/fail2ban stop
/etc/init.d/fail2ban start
mas seu eu der um tail -f /var/log/fail2ban.log ele nao está gravando e, o ultrasurf está abrindo normalmente aqui.
alguma sugestão ?
abraço:
Rodrigo Muzyka
[/quote]
Rodrigo, tudo bem?
Qual a sua Distro?
No /var/log/messages apresenta algum erro?
Verifica pelo comando ps se o processo do fail2ban está rodando.
abs,
Rodrigo
Olá Rodrigoluis! Parabéns pelo artigo! Esse artigo foi de muita importância na implementação em um servidor CentOS que eu tenho na empresa que eu trabalho. Funcionou de primeira querido! Abraços...
Mensagem
Olá Rodrigoluis! Parabéns pelo artigo! Esse artigo foi de muita importância na implementação em um servidor CentOS que eu tenho na empresa que eu trabalho. Funcionou de primeira querido! Abraços...
Olá muito bom elaborado o artigo, mas estou com problema restarta o fail2ban, poderia me ajuda...
/etc/init.d/fail2ban restart Restarting authentication failure monitor: fail2ban failed!
root@firewall:/home/flavio#
Mensagem
Olá muito bom elaborado o artigo, mas estou com problema restarta o fail2ban, poderia me ajuda...
/etc/init.d/fail2ban restart Restarting authentication failure monitor: fail2ban failed!
root@firewall:/home/flavio#
[44] Comentário enviado por flaviomstes em 03/10/2012 - 08:58h:
Olá muito bom elaborado o artigo, mas estou com problema restarta o fail2ban, poderia me ajuda...
/etc/init.d/fail2ban restart Restarting authentication failure monitor: fail2ban failed!
root@firewall:/home/flavio#
Isso ja foi resolvindo, so foi uma questão chain do firewall
Mensagem
[quote]
[44] Comentário enviado por flaviomstes em 03/10/2012 - 08:58h:
Olá muito bom elaborado o artigo, mas estou com problema restarta o fail2ban, poderia me ajuda...
/etc/init.d/fail2ban restart Restarting authentication failure monitor: fail2ban failed!
root@firewall:/home/flavio#
[/quote]
Isso ja foi resolvindo, so foi uma questão chain do firewall
Galera algué pode me ajudar, esta rodando quase perfeito o fail2ban, mas não esta bloqueando a maquina que esta usando o ultrasurf
o meu firewall esta assim:
/etc/init.d/fail2ban stop
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
iptables -t nat -I POSTROUTING -o eth1 -j SNAT --to-source 201.0.0.0
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
/etc/init.d/fail2ban start
Quando o fail2ban é iniciado ele criar uma CHAIN no iptables usando o comando abaixo
“iptables -N fail2ban-ultrasurf”
Dentro dessa Chain ele coloca as regras para bloqueio, quando você roda o seu script de firewall ele certamente remove todas as chains personalizadas, sendo assim ele remove a chain “fail2ban-ultrasurf”.
Para resolver esse problema adicionei a linha abaixo no começo do seu script de firewall
/etc/init.d/fail2ban stop
E a seguinte linha no final do script de firewall
/etc/init.d/fail2ban start
Talvez estou equivocando, mas foi o que achei de solução
Mas abaixo esta o log messages
------------------------------------------------------------------------------------------------------------------------------------------
root@firewall:/home/flavio# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban.
root@firewall:/home/flavio# tail -f /var/log/fail2ban.log
2012-10-03 09:53:19,433 fail2ban.filter : INFO Set findtime = 600
2012-10-03 09:53:19,433 fail2ban.actions: INFO Set banTime = 600
2012-10-03 09:53:19,515 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-10-03 09:53:19,516 fail2ban.jail : INFO Jail 'ssh' started
2012-10-03 09:53:19,524 fail2ban.actions.action: ERROR iptables -N fail2ban-ultrasurf
iptables -A fail2ban-ultrasurf -j RETURN
iptables -I INPUT -j fail2ban-ultrasurf
iptables -I FORWARD -j fail2ban-ultrasurf
iptables -I PREROUTING -t nat -j fail2ban-ultrasurf
iptables -D PREROUTING -t nat -j fail2ban-ultrasurf returned 200
2012-10-03 09:53:40,547 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.200.200
2012-10-03 09:54:04,574 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
2012-10-03 09:54:23,595 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
2012-10-03 09:54:39,613 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
tail -f /var/log/messages
ROTO=UDP SPT=53041 DPT=554 LEN=103
Oct 3 09:51:57 firewall kernel: [ 871.888388] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=487 TOS=0x00 PREC=0x00 TTL=127 ID=1284 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16258 RES=0x00 ACK PSH URGP=0
Oct 3 09:51:58 firewall kernel: [ 872.311731] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1287 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16500 RES=0x00 ACK URGP=0
Oct 3 09:52:01 firewall kernel: [ 875.552447] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=341 TOS=0x00 PREC=0x00 TTL=127 ID=1289 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16500 RES=0x00 ACK PSH URGP=0
Oct 3 09:52:01 firewall kernel: [ 875.997180] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1291 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16223 RES=0x00 ACK URGP=0
Oct 3 09:52:03 firewall kernel: [ 877.371047] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.77 LEN=122 TOS=0x00 PREC=0x00 TTL=127 ID=1293 PROTO=UDP SPT=53041 DPT=554 LEN=102
Oct 3 09:52:09 firewall kernel: [ 883.365597] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.77 LEN=111 TOS=0x00 PREC=0x00 TTL=127 ID=1296 PROTO=UDP SPT=53041 DPT=554 LEN=91
Mensagem
Galera algué pode me ajudar, esta rodando quase perfeito o fail2ban, mas não esta bloqueando a maquina que esta usando o ultrasurf
o meu firewall esta assim:
/etc/init.d/fail2ban stop
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
iptables -t nat -I POSTROUTING -o eth1 -j SNAT --to-source 201.0.0.0
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
/etc/init.d/fail2ban start
Quando o fail2ban é iniciado ele criar uma CHAIN no iptables usando o comando abaixo
“iptables -N fail2ban-ultrasurf”
Dentro dessa Chain ele coloca as regras para bloqueio, quando você roda o seu script de firewall ele certamente remove todas as chains personalizadas, sendo assim ele remove a chain “fail2ban-ultrasurf”.
Para resolver esse problema adicionei a linha abaixo no começo do seu script de firewall
/etc/init.d/fail2ban stop
E a seguinte linha no final do script de firewall
/etc/init.d/fail2ban start
Talvez estou equivocando, mas foi o que achei de solução
Mas abaixo esta o log messages
------------------------------------------------------------------------------------------------------------------------------------------
root@firewall:/home/flavio# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2ban.
root@firewall:/home/flavio# tail -f /var/log/fail2ban.log
2012-10-03 09:53:19,433 fail2ban.filter : INFO Set findtime = 600
2012-10-03 09:53:19,433 fail2ban.actions: INFO Set banTime = 600
2012-10-03 09:53:19,515 fail2ban.jail : INFO Jail 'ultrasurf' started
2012-10-03 09:53:19,516 fail2ban.jail : INFO Jail 'ssh' started
2012-10-03 09:53:19,524 fail2ban.actions.action: ERROR iptables -N fail2ban-ultrasurf
iptables -A fail2ban-ultrasurf -j RETURN
iptables -I INPUT -j fail2ban-ultrasurf
iptables -I FORWARD -j fail2ban-ultrasurf
iptables -I PREROUTING -t nat -j fail2ban-ultrasurf
iptables -D PREROUTING -t nat -j fail2ban-ultrasurf returned 200
2012-10-03 09:53:40,547 fail2ban.actions: WARNING [ultrasurf] Ban 192.168.200.200
2012-10-03 09:54:04,574 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
2012-10-03 09:54:23,595 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
2012-10-03 09:54:39,613 fail2ban.actions: WARNING [ultrasurf] 192.168.200.200 already banned
tail -f /var/log/messages
ROTO=UDP SPT=53041 DPT=554 LEN=103
Oct 3 09:51:57 firewall kernel: [ 871.888388] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=487 TOS=0x00 PREC=0x00 TTL=127 ID=1284 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16258 RES=0x00 ACK PSH URGP=0
Oct 3 09:51:58 firewall kernel: [ 872.311731] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1287 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16500 RES=0x00 ACK URGP=0
Oct 3 09:52:01 firewall kernel: [ 875.552447] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=341 TOS=0x00 PREC=0x00 TTL=127 ID=1289 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16500 RES=0x00 ACK PSH URGP=0
Oct 3 09:52:01 firewall kernel: [ 875.997180] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.59 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=1291 DF PROTO=TCP SPT=51188 DPT=443 WINDOW=16223 RES=0x00 ACK URGP=0
Oct 3 09:52:03 firewall kernel: [ 877.371047] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.77 LEN=122 TOS=0x00 PREC=0x00 TTL=127 ID=1293 PROTO=UDP SPT=53041 DPT=554 LEN=102
Oct 3 09:52:09 firewall kernel: [ 883.365597] =UltraSurf= IN=eth2 OUT=eth1 SRC=192.168.200.200 DST=65.49.14.77 LEN=111 TOS=0x00 PREC=0x00 TTL=127 ID=1296 PROTO=UDP SPT=53041 DPT=554 LEN=91
Também estou o mesmo problema, quando reinicio o failban não aparece nenhuma mensagemde erro, entretanto não bloqueia o ultrasurf. Segue o log o Fail2ban
2012-10-04 13:52:46,403 fail2ban.filter : INFO Set maxRetry = 6
2012-10-04 13:52:46,405 fail2ban.filter : INFO Set findtime = 600
2012-10-04 13:52:46,406 fail2ban.actions: INFO Set banTime = 600
2012-10-04 13:52:46,468 fail2ban.jail : INFO Creating new jail 'ultrasurf'
2012-10-04 13:52:46,468 fail2ban.jail : INFO Jail 'ultrasurf' uses Gamin
2012-10-04 13:52:46,470 fail2ban.filter : INFO Set maxRetry = 6
2012-10-04 13:52:46,473 fail2ban.filter : INFO Set findtime = 600
2012-10-04 13:52:46,474 fail2ban.actions: INFO Set banTime = 900
2012-10-04 13:52:46,487 fail2ban.jail : INFO Jail 'ssh' started
2012-10-04 13:52:46,491 fail2ban.jail : INFO Jail 'ultrasurf' started
Por gentileza, alguém puder me ajudar
Mensagem
Também estou o mesmo problema, quando reinicio o failban não aparece nenhuma mensagemde erro, entretanto não bloqueia o ultrasurf. Segue o log o Fail2ban
2012-10-04 13:52:46,403 fail2ban.filter : INFO Set maxRetry = 6
2012-10-04 13:52:46,405 fail2ban.filter : INFO Set findtime = 600
2012-10-04 13:52:46,406 fail2ban.actions: INFO Set banTime = 600
2012-10-04 13:52:46,468 fail2ban.jail : INFO Creating new jail 'ultrasurf'
2012-10-04 13:52:46,468 fail2ban.jail : INFO Jail 'ultrasurf' uses Gamin
2012-10-04 13:52:46,470 fail2ban.filter : INFO Set maxRetry = 6
2012-10-04 13:52:46,473 fail2ban.filter : INFO Set findtime = 600
2012-10-04 13:52:46,474 fail2ban.actions: INFO Set banTime = 900
2012-10-04 13:52:46,487 fail2ban.jail : INFO Jail 'ssh' started
2012-10-04 13:52:46,491 fail2ban.jail : INFO Jail 'ultrasurf' started
Por gentileza, alguém puder me ajudar
Parabens, configurei aqui na empresa e funcionou 100%%% muito bom mesmo obrigado.
Mensagem
Parabens, configurei aqui na empresa e funcionou 100%%% muito bom mesmo obrigado.
Olá Rodrigo!
Gostaria de parabenizá-lo acerca do artigo publicado. Realmente simples e funcional.
Implementei a configuração conforme seu artigo na empresa onde sou responsável pelo setor de TI e realmente solucionou
um pesadelo que me atormentava algum tempo.
Gostaria de informar que utilizo o Ubuntu Server 12.10 e que senti uma certa dificuldade com o Firewall UFW que incorpora a OS.
Desabilitei o UFW e criei o script de firewall para dar certo. O mais interessante que durante os testes é que a primeira tentativa de conectar com o Ultrasurf ele conecta e não bloqueia, mas depois de encerrar o Ultrasurf e tentar novamente, acompanhando o log do fail2ban.log ele bloqueia normalmente, ou seja ele não bloqueia de primeira, somente apos a segunda tentativa por diante para qualquer maquina na minha rede..
Bom foi somente um agradecimento e uma breve analise do que ocorre com o meu servidor Proxy.
Um grande abraço e sucesso!
Luiz Carlos Corrêa
Analista de TI
Mensagem
Olá Rodrigo!
Gostaria de parabenizá-lo acerca do artigo publicado. Realmente simples e funcional.
Implementei a configuração conforme seu artigo na empresa onde sou responsável pelo setor de TI e realmente solucionou
um pesadelo que me atormentava algum tempo.
Gostaria de informar que utilizo o Ubuntu Server 12.10 e que senti uma certa dificuldade com o Firewall UFW que incorpora a OS.
Desabilitei o UFW e criei o script de firewall para dar certo. O mais interessante que durante os testes é que a primeira tentativa de conectar com o Ultrasurf ele conecta e não bloqueia, mas depois de encerrar o Ultrasurf e tentar novamente, acompanhando o log do fail2ban.log ele bloqueia normalmente, ou seja ele não bloqueia de primeira, somente apos a segunda tentativa por diante para qualquer maquina na minha rede..
Bom foi somente um agradecimento e uma breve analise do que ocorre com o meu servidor Proxy.
Um grande abraço e sucesso!
Luiz Carlos Corrêa
Analista de TI
Olá Pessoal,
Sou novo aqui e gostaria muito da ajuda de vocês.
Estava procurando uma forma de como bloquear o ultrasurf e acabei encontrando esse artigo, que por sinal é muito interessante.
Realizei todos os passos mostrados no tutorial, o fail2ban está rodando perfeitamente, os arquivos citados foram configurados corretamente ("conferi duas vezes"), o iptable foi adicionado na minha regra de firewall como a primeira regra visto que não utilizo o módulo state (-m state --state ESTABLISHED,RELATED), quando visualizo o log tail -f fail2ban.log a jail está com o status de started. Mas quando executo o ultrasurf em minha máquina, estou conseguindo navegar normalmente sem nenhum bloqueio.....achei estranho. Agradeço desde já qualquer ajuda.
Configurações:
Distribuição:
Ubuntu Server 11.10
Meu Firewall:
echo "Ativando o firewall"
echo "Gera log para bloquear o ultrasurf.......[OK]"
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
echo "Carregando os modulos....................[OK]"
modprobe iptables
modprobe iptable_nat
echo "Habilitando IP forwarding................[OK]"
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "Compartilhando a conexao.................[OK]"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Direcionando porta 80 para 8080..........[OK]"
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 ! -s 125.115.0.9
echo "Protegendo contra pacotes danificados....[OK]"
iptables -A FORWARD -m unclean -j DROP
echo "Abrindo conexao para rede local..........[OK]"
iptables -A INPUT -p tcp --syn -s 125.115.0.0/255.255.0.0 -j ACCEPT
echo "Fechando a conexao para o resto..........[OK]"
iptables -A INPUT -p tcp --syn -j DROP
echo "Bloqueando ping no servidor..............[OK]"
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Arquivo jail.local:
[ultrasurf]
enabled = true
filter = ultrasurf
port = all
banaction = iptables-ultrasurf
logpath = /var/log/messages
maxretry = 6
# Tempo em segundos que o IP fica bloqueado, aqui 15 minutos
bantime = 900
Arquivo ultrasurf.local:
[Definition]
failregex = (.*)=UltraSurf=(.*) SRC=<HOST>
ignoreregex =
Arquivo iptables-ultrasurf.local:
[Definition]
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -j fail2ban-<name>
iptables -I FORWARD -j fail2ban-<name>
actionstop = iptables -D FORWARD -j fail2ban-<name>
iptables -D INPUT -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
actioncheck = iptables -n -L FORWARD | grep -q fail2ban-<name>
iptables -n -L INPUT | grep -q fail2ban-<name>
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j REJECT
actionunban = iptables -D fail2ban-<name> -s <ip> -j REJECT
[Init]
name = ultrasurf
Obs: Até cheguei a mudar em /etc/fail2ban/jail.conf o backed = polling, porém mesmo assim não funcionou.
Abraço.
Mensagem
Olá Pessoal,
Sou novo aqui e gostaria muito da ajuda de vocês.
Estava procurando uma forma de como bloquear o ultrasurf e acabei encontrando esse artigo, que por sinal é muito interessante.
Realizei todos os passos mostrados no tutorial, o fail2ban está rodando perfeitamente, os arquivos citados foram configurados corretamente ("conferi duas vezes"), o iptable foi adicionado na minha regra de firewall como a primeira regra visto que não utilizo o módulo state (-m state --state ESTABLISHED,RELATED), quando visualizo o log tail -f fail2ban.log a jail está com o status de started. Mas quando executo o ultrasurf em minha máquina, estou conseguindo navegar normalmente sem nenhum bloqueio.....achei estranho. Agradeço desde já qualquer ajuda.
Configurações:
Distribuição:
Ubuntu Server 11.10
Meu Firewall:
echo "Ativando o firewall"
echo "Gera log para bloquear o ultrasurf.......[OK]"
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "
echo "Carregando os modulos....................[OK]"
modprobe iptables
modprobe iptable_nat
echo "Habilitando IP forwarding................[OK]"
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "Compartilhando a conexao.................[OK]"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Direcionando porta 80 para 8080..........[OK]"
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 ! -s 125.115.0.9
echo "Protegendo contra pacotes danificados....[OK]"
iptables -A FORWARD -m unclean -j DROP
echo "Abrindo conexao para rede local..........[OK]"
iptables -A INPUT -p tcp --syn -s 125.115.0.0/255.255.0.0 -j ACCEPT
echo "Fechando a conexao para o resto..........[OK]"
iptables -A INPUT -p tcp --syn -j DROP
echo "Bloqueando ping no servidor..............[OK]"
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Arquivo jail.local:
[ultrasurf]
enabled = true
filter = ultrasurf
port = all
banaction = iptables-ultrasurf
logpath = /var/log/messages
maxretry = 6
# Tempo em segundos que o IP fica bloqueado, aqui 15 minutos
bantime = 900
Arquivo ultrasurf.local:
[Definition]
failregex = (.*)=UltraSurf=(.*) SRC=<HOST>
ignoreregex =
Arquivo iptables-ultrasurf.local:
[Definition]
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -j fail2ban-<name>
iptables -I FORWARD -j fail2ban-<name>
actionstop = iptables -D FORWARD -j fail2ban-<name>
iptables -D INPUT -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
actioncheck = iptables -n -L FORWARD | grep -q fail2ban-<name>
iptables -n -L INPUT | grep -q fail2ban-<name>
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j REJECT
actionunban = iptables -D fail2ban-<name> -s <ip> -j REJECT
[Init]
name = ultrasurf
Obs: Até cheguei a mudar em /etc/fail2ban/jail.conf o backed = polling, porém mesmo assim não funcionou.
Abraço.
Mensagem
Rodrigo, agradeço muito pelo tutorial pois ele possibilitou que eu banisse outros problemas que haviam para a minha rede!
http://vivaolinux.com.br/topico/Redes/-Minha-Solucao-para-Bloqueio-de-Peer-to-Peer-e-Proxies-com-o-fail2ban
Que solução. Radical, mas muito boa.
Só uma dúvida.
Aqui quando ele bloqueia, acaba sendo tudo, até mesmo a rede local como acesso ao servidor de arquivos.
Isso é padrão ou foi alguma configuração que eu fiz?
Mensagem
Que solução. Radical, mas muito boa.
Só uma dúvida.
Aqui quando ele bloqueia, acaba sendo tudo, até mesmo a rede local como acesso ao servidor de arquivos.
Isso é padrão ou foi alguma configuração que eu fiz?
Patrick,
Essa configuração realmente bloqueia todo o acesso a Internet.
Se está bloqueando o acesso aos seus servidores você deve especificar as interfaces de entrada e saida na configuração do Fail2Ban.
Porém veja que o bloqueio total, inclusive servidores traz vantagens.
O usuário vai reclamar, você vai descobrir quem é, vai enviar um email falando sobre a politica e nunca mais ele vai usar o ultrasurf.
Não vejo problema no bloqueio total, vai ter muito problema no começo, depois vai zerar.
abs,
Rodrigo
Mensagem
Patrick,
Essa configuração realmente bloqueia todo o acesso a Internet.
Se está bloqueando o acesso aos seus servidores você deve especificar as interfaces de entrada e saida na configuração do Fail2Ban.
Porém veja que o bloqueio total, inclusive servidores traz vantagens.
O usuário vai reclamar, você vai descobrir quem é, vai enviar um email falando sobre a politica e nunca mais ele vai usar o ultrasurf.
Não vejo problema no bloqueio total, vai ter muito problema no começo, depois vai zerar.
abs,
Rodrigo
Olá Rodrigo.
Acho perfeito a ideia de bloquear tudo, até mesmo para o usuário aprender e ir trabalhar.
Minha dúvida era só se estava correto ou era algum erro na configuração.
Estou testando para implementar junto com bloqueio para os programas P2P também.
Show de bola.
Vlw
abs.
Mensagem
Olá Rodrigo.
Acho perfeito a ideia de bloquear tudo, até mesmo para o usuário aprender e ir trabalhar.
Minha dúvida era só se estava correto ou era algum erro na configuração.
Estou testando para implementar junto com bloqueio para os programas P2P também.
Show de bola.
Vlw
abs.
Galera não sei se vcs podem me ajudar, o meu funcionou aqui corretamente o bloqueio, a questão e o seguinte:
O próprio ultrasurf ele não bloqueia, se eu abro o programa normal ele conecta e o iptables não gera log para que o fail2ban possa ler, mais se eu pingar o ip 65.49.14.0 ele funciona perfeitamente.
Alguém pode me ajudar.?
Mensagem
Galera não sei se vcs podem me ajudar, o meu funcionou aqui corretamente o bloqueio, a questão e o seguinte:
O próprio ultrasurf ele não bloqueia, se eu abro o programa normal ele conecta e o iptables não gera log para que o fail2ban possa ler, mais se eu pingar o ip 65.49.14.0 ele funciona perfeitamente.
Alguém pode me ajudar.?
Olá, se alguém puder ajudar, estou com um problema aqui, quando crio o arquivo jail.local ele não inicia mais o fail2ban, informando o seguinte no log:
2015-02-12 17:59:41,806 fail2ban.server : INFO Stopping all jails
2015-02-12 17:59:42,732 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport –dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100
2015-02-12 17:59:42,732 fail2ban.jail : INFO Jail ‘ssh’ stopped
2015-02-12 17:59:42,733 fail2ban.server : INFO Exiting Fail2ban
Se eu colocar essa configuração dentro do jail.conf dá na mesma, antes o erro acontecia da seguinte forma:
2015-02-12 18:01:55,481 fail2ban.server : INFO Stopping all jails
2015-02-12 18:01:56,259 fail2ban.jail : INFO Jail ‘ssh’ stopped
2015-02-12 18:01:56,260 fail2ban.server : INFO Exiting Fail2ban
Alguma solução?
Mensagem
Olá, se alguém puder ajudar, estou com um problema aqui, quando crio o arquivo jail.local ele não inicia mais o fail2ban, informando o seguinte no log:
2015-02-12 17:59:41,806 fail2ban.server : INFO Stopping all jails
2015-02-12 17:59:42,732 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport –dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100
2015-02-12 17:59:42,732 fail2ban.jail : INFO Jail ‘ssh’ stopped
2015-02-12 17:59:42,733 fail2ban.server : INFO Exiting Fail2ban
Se eu colocar essa configuração dentro do jail.conf dá na mesma, antes o erro acontecia da seguinte forma:
2015-02-12 18:01:55,481 fail2ban.server : INFO Stopping all jails
2015-02-12 18:01:56,259 fail2ban.jail : INFO Jail ‘ssh’ stopped
2015-02-12 18:01:56,260 fail2ban.server : INFO Exiting Fail2ban
Alguma solução?
Gostaria de ao invés de bloquear, deixar lenta a conexão do sujeito que usa o ultrasurf, alguém tem alguma idéia de como fazê-lo?
Mensagem
Gostaria de ao invés de bloquear, deixar lenta a conexão do sujeito que usa o ultrasurf, alguém tem alguma idéia de como fazê-lo?
Quando tento reiniciar a Daemon ocorre um erro. Alguém poderia me ajudar?
root@tales:/# /etc/init.d/fail2ban restart
[FAIL] Restarting authentication failure monitor: fail2ban failed!
root@tales:/#
Mensagem
Quando tento reiniciar a Daemon ocorre um erro. Alguém poderia me ajudar?
root@tales:/# /etc/init.d/fail2ban restart
[FAIL] Restarting authentication failure monitor: fail2ban failed!
root@tales:/#
Para bloquear por MAC ao invés de por IP, altere o arquivo /etc/fail2ban/action.d/iptables-ultrasurf.local da seguinte forma:
actionban = iptables -I fail2ban-<name> 1 -m mac --mac-source $(arp -a <ip> | awk '{print $4}') -j REJECT
actionunban = iptables -D fail2ban-<name> -m mac --mac-source $(arp -a <ip> | awk '{print $4}') -j REJECT
Mensagem
Para bloquear por MAC ao invés de por IP, altere o arquivo /etc/fail2ban/action.d/iptables-ultrasurf.local da seguinte forma:
actionban = iptables -I fail2ban-<name> 1 -m mac --mac-source $(arp -a <ip> | awk '{print $4}') -j REJECT
actionunban = iptables -D fail2ban-<name> -m mac --mac-source $(arp -a <ip> | awk '{print $4}') -j REJECT
Boa tarde....Sou iniciante na mundo do linux...me foi solicitado o bloqueio do Ultrasurf e Tor...só consegui bloquear pelo AD da microsoft, mas se o arquivo for renomeado ou midar de versão já era....
Fiz do jeito que está descrito nesse tutorial, mas tenho algumas dificuldades em algumas partes podemos debater para você me ajudar?
1º - Onde tem (-m state –state ESTABLISHED, RELATED) eu coloquei "iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT" e me seguida "iptables -I FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= ", está correto?
2º Criei o três arquivos jail.local | iptables-ultrasurf.local | ultrasurf.local
Em ultrasurf.local
vi /etc/fail2ban/filter.d/ultrasurf.local
[Definition]
failregex = (.*)=UltraSurf=(.*) SRC= coloco o que aqui? IP de quem?
ignoreregex = e aqui?
==============================
[Definition]
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -j fail2ban-<name>
iptables -I FORWARD -j fail2ban-<name>
actionstop = iptables -D FORWARD -j fail2ban-<name>
iptables -D INPUT -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
actioncheck = iptables -n -L FORWARD | grep -q fail2ban-<name>
iptables -n -L INPUT | grep -q fail2ban-
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j REJECT
actionunban = iptables -D fail2ban-<name> -s <ip> -j REJECT
[Init]
name = ultrasurf
Onde tem <name> que nome coloco aqui? e onde tem <ip> é o ip de quem do servidor firewall ou do host que está executano o Ultrasurf?
Desde já agradeço....
Mensagem
Boa tarde....Sou iniciante na mundo do linux...me foi solicitado o bloqueio do Ultrasurf e Tor...só consegui bloquear pelo AD da microsoft, mas se o arquivo for renomeado ou midar de versão já era....
Fiz do jeito que está descrito nesse tutorial, mas tenho algumas dificuldades em algumas partes podemos debater para você me ajudar?
1º - Onde tem (-m state –state ESTABLISHED, RELATED) eu coloquei "iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT" e me seguida "iptables -I FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= ", está correto?
2º Criei o três arquivos jail.local | iptables-ultrasurf.local | ultrasurf.local
Em ultrasurf.local
vi /etc/fail2ban/filter.d/ultrasurf.local
[Definition]
failregex = (.*)=UltraSurf=(.*) SRC= coloco o que aqui? IP de quem?
ignoreregex = e aqui?
==============================
[Definition]
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -j fail2ban-<name>
iptables -I FORWARD -j fail2ban-<name>
actionstop = iptables -D FORWARD -j fail2ban-<name>
iptables -D INPUT -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
actioncheck = iptables -n -L FORWARD | grep -q fail2ban-<name>
iptables -n -L INPUT | grep -q fail2ban-
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j REJECT
actionunban = iptables -D fail2ban-<name> -s <ip> -j REJECT
[Init]
name = ultrasurf
Onde tem <name> que nome coloco aqui? e onde tem <ip> é o ip de quem do servidor firewall ou do host que está executano o Ultrasurf?
Desde já agradeço....
Contribuir com comentário
Enviar