Bloquear Ultrasurf [RESOLVIDO]

kleison paiva
(usa Debian)

Enviado em 18/08/2011 - 19:19h

Olá gostaria de saber como faço para bloquear o ultrasurf ???

removido
(usa Nenhuma)

Enviado em 19/08/2011 - 09:07h

Amigo, não existe uma maneira padrão de bloquear o ultrasurf, porque ele pega portas aleatórias.

O que eu sugiro você a fazer(e é o que a maioria faz):

1 - Instale o ultrasurf em uma maquina que você possa ficar testando (sua maquina por exemplo).
2 - Abra 2 sessões em seu servidor proxy:
-Na 1ª sessão, você vai dar um tail -f no access.log do squid dando um grep no ip da maquina que
você esta realizando os testes. Ex.: tail -f /var/log/squid/access.log |grep 192.168.100.200
-Na 2ª sessão, você vai dar um tcpdump -i ethx -qtNnn host 192.168.100.200 and not port 22 (para
não aparecer o trafego da sessão ssh) onde ethx é a sua interface de rede interna.


Com esses dois passos você vai conseguir ver os links (access.log) e as portas (tcpdump) utilizados.

raizd3
(usa Fedora)

Enviado em 19/08/2011 - 16:12h

1) Coloque a seguinte regra no seu firewall:

for end in `cat /etc/squid/ultrasurf`
do
iptables -A OUTPUT -d $end -p tcp --dport 443 -j DROP
iptables -A FORWARD -d $end -p tcp --dport 443 -j DROP
iptables -A INPUT -s $end -p tcp --dport 443 -j DROP
done

2) crie um arquivo (no meu caso na pasta etc/squid) chamado ultrasurf;

3) copie os ip's listados para o seu arquivo ultrasurf:
1.174.0.0/16
1.172.0.0/16
1.168.0.0/16
27.105.12.0/24
59.0.0.0/8
61.0.0.0/8
65.49.14.0/24
66.245.0.0/16
69.175.115.0/24
65.98.0.0/16
71.35.0.0/16
72.21.0.0/16
111.0.0.0/8
112.104.0.0/16
112.105.0.0/16
114.0.0.0/8
118.0.0.0/8
122.122.0.0/16
122.123.0.0/16
122.124.0.0/16
122.125.0.0/16
122.121.0.0/16
123.204.153.0/24
124.8.0.0/16
124.9.0.0/16
124.10.0.0/16
124.11.0.0/16
124.12.0.0/16
124.13.0.0/16
124.14.0.0/16
125.230.0.0/16
125.231.0.0/16
125.232.0.0/16
139.18.1.0/24
158.229.251.0/24
174.24.248.0/24
175.180.0.0/16
175.96.77.0/24
175.182.0.0/16
184.154.95.0/24
195.134.100.0/24
203.67.0.0/16
210.64.118.0/24
211.74.0.0/16
213.215.157.0/24
218.0.0.0/8
219.85.0.0/16
219.81.0.0/16
219.82.0.0/16
219.83.0.0/16
219.84.0.0/16
219.86.0.0/16
219.80.0.0/16
220.0.0.0/8

4) Adicione ao seu arquivo de palavras bloqueadas do squid o termo /gwt/n

5) dê o comando squid -k reconfigure na pasta do squid e ./firewall na pasta etc/init.d e seja feliz.

mperalta
(usa Ubuntu)

Enviado em 01/09/2011 - 08:37h

Bom dia raizd3

eu fiz exatamente o que vc falou e realmente deu certo, bloqueou o ultrasurf.

O único problema é que bloqueou o vpn junto.

Vc poderia me ajudar, preciso desbloquear o vpn para um host.

Obrigado e parabéns pela solução do ultrasurf.

kleison paiva
(usa Debian)

Enviado em 29/11/2011 - 17:27h

ñ deu certo aqui comigo, fiz os testes no iptables e continua funcionando!!!

rodrigoluis
(usa Debian)

Enviado em 14/01/2012 - 20:33h

Caros, acredito que consegui bloquear de vez o UltraSurf usando o fail2ban.

Segue o link explicando como eu fiz

http://www.dotsharp.com.br/linux/como-fazer-para-bloquear-ultrasurf-solucao-definitiva-iptables-fail...

phrich
(usa Slackware)

Enviado em 16/01/2012 - 11:18h

Coloque as políticas do iptables como DROP

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

e vá liberando o que vc precisa.

kleison paiva
(usa Debian)

Enviado em 22/09/2014 - 17:29h

Consegui bloquear o ultrasurf, depois de tento pesquisar encontrei um Post aqui mesmo no VOL. Vai a solução.
como base utilizei o post do Amigo rodrigoluis - http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2...

1º Utilizando a Ferramenta Fail2ban.
O Fail2ban é uma ferramenta muito boa para a segurança de servidores, em linhas gerais ela faz o seguinte: lê algum arquivo de Log, compara com uma expressão regular e em caso positivo, executa algum comando no sistema.

Instalação e configuração
Como eu estou utilizando o Debian, vou instalar pelo "apt-get":

# apt-get install fail2ban

Depois de instalado, vamos acessar o diretório de configuração:

# cd /etc/fail2ban/

Aqui vamos criar um arquivo chamado "jail.local":

# nano /etc/fail2ban/jail.local

E adicionar o conteúdo abaixo ao arquivo:

[ultrasurf]

enabled = true
filter = ultrasurf
port = all
banaction = iptables-ultrasurf
logpath = /var/log/messages
maxretry = 6

# Tempo em segundos que o IP fica bloqueado, aqui 15 minutos
bantime = 900

2º Vamos criar o arquivo com a expressão regular que irá filtar o Log do iptables:

# nano /etc/fail2ban/filter.d/ultrasurf.local

Aqui vamos adicionar uma expressão regular simples ao arquivo "ultrasurf.local":

[Definition]

failregex = (.*)=UltraSurf=(.*) SRC=<HOST>
ignoreregex =

3º Agora o arquivo que irá executar o iptables e criar as regras necessárias para o bloqueio e desbloqueio:

# nano /etc/fail2ban/action.d/iptables-ultrasurf.local
Adicione o conteúdo abaixo ao arquivo "iptables-ultrasurf.local":

[Definition]

actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -j fail2ban-<name>
iptables -I FORWARD -j fail2ban-<name>

actionstop = iptables -D FORWARD -j fail2ban-<name>
iptables -D INPUT -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>

actioncheck = iptables -n -L FORWARD | grep -q fail2ban-<name>
iptables -n -L INPUT | grep -q fail2ban-

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j REJECT

actionunban = iptables -D fail2ban-<name> -s <ip> -j REJECT

[Init]
name = ultrasurf

4ºAdicionar a linha abaixo em seu script de Firewall
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "

5ºReinicie o "Daemon":

# /etc/init.d/fail2ban restart

Para verificar os logs, acesse o diretório /var/log e execute o comando abaixo.
# tail -f fail2ban.log


Resumo, toda vez que um usuário tentar utilizar o ultrasurf, sua conexão com o servidor é cortada e só será restabelecida após 15 minutos.