negando conexões na porta 443 e bloqueando ultra surf

wesleymauricio
(usa Debian)

Enviado em 04/03/2010 - 20:13h

Seguinte pessoal, criei um firewall com iptables e squid transparente, principal objetivo é o cache para armazenamento das paginas, bloqueio de sites pornograficos, messengers e orkut, tava tudo tranquilo na rede até descobrirem esse ultra surf, que muda o proxy do IE para 127.0.0.1 e a porta 9666 e utiliza a porta 443 para conectar nos servidores, Consegui bloquear ele negando conexões na porta 443 e liberando apenas dominios e IPs conhecidos.

Agora vem o problema, ta tudo tranquilo, só o gmail que eu não estou tendo uma boa eficiencia para libera-lo, pois ele muda o endereço de seus servidores constantemente. Ja tentei negar solicitações por IP no squid, que inclusive peguei essa dica aqui no VOL, mais não funcionou.

Alguem sabe uma maneira eficaz de liberar o gmail para acesso na porta 443 ou alguma outra forma de bloquear o ultra Surf?

#Regras no iptables
#Liberando porta 443 para IPs e dominios conhecidos
iptables -A FORWARD -p tcp -s br.mail.yahoo.com --sport 443 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d br.mail.yahoo.com --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s www.gmail.com --sport 443 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d www.gmail.com --dport 443 -j ACCEPT

#Bloqueando o repasse de pacatos para o resto na porta 443
iptables -A FORWARD -p tcp -s 0/0 --sport 443 -d 192.168.1.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j DROP

tiagodib
(usa Slackware)

Enviado em 04/03/2010 - 21:28h

Essa não é uma tarefa fácil, pois o pessoal do programa do ultrasurf pode desenvolver mudanças na maneira como ele se conecta e a regra do site que irei postar não funcionar mais, porém é uma alternativa.. Tente e veja se da certo.

http://gutocarvalho.net/wordpress/archives/454

Abraços

Tiago Dib.

wesleymauricio
(usa Debian)

Enviado em 05/03/2010 - 13:28h

Eu mudei a forma de bloqueio, configurei para negar o repasse de pacote e o squid não é mais transparente, configurei nos navegadores o proxy a porta 3128 e o gmail e outros sites estão abrindo normalmente, exceto o hotmail, e o squid.conf não tem restrição nenhuma é apenas para cache mesmo, que dor de cabeça isso hein :S

Alguem sabe pq o hotmail não abre quando é configurado o proxy nos navegadores?

#Regras utilizadas
iptables -A FORWARD -s 192.168.1.0/24 -j DROP
iptables -A FORWARD -d 192.168.1.0/24 -j DROP

#Squid
acl rede src 192.168.1.0/24
http_access allow rede