Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 Problema iptables para bloquear ultrasurf
Tema anterior Tema siguiente
   
pozolero
Publicado en 06/09/11 08:18 (Leído 9370 veces)  

Nuevo
sad
Forum User

Inscrito: 06/07/11 Publicaciones: 14
Hola a todos en el foro, he estado leyendo aqui y en otros foros el problema con el ultrasurf...
Por aqui comento Joel Barrios que mientras que el proxy fuera transparente no se podia bloquear el https o algo similar.

Entonces se me ocurrio bloquear el puerto por iptables a cierto rango de red y les comento como tengo la red del trabajo:

Hay un rango de red sobre 172.16.9.0 - 172.16.9.255 que es para las personas con bloqueos.

El otro rango de red es sobre 172.16.0.0 - 172.16.0.255 que es para los jefes, los cuales los habilito en el archivo dhcpd.conf por medio de su respectiva mac address y asignandole la ip de jefe y tengo una lista de squid llamada jefes donde vienen las ip de cada uno con el nombre de host.

Hasta aqui todo bien, pero como ya comente, hay en el trabajo unos 2 o 3 listillos que se pasan el squid por el arco del triunfo con el ultrasurf. Entonces hice un script de prueba para bloquear el puerto 443 para el rango de red de personas bloqueadas, pero puse otra regla para poder accesar a gmail, que tambien usa el puerto 443. Funciona pero a medias, ya que cuando pongo la regla para tambien poder accesar a hotmail, no entra, se queda buscando o leyendo la informacion...

Haciendo el comentario, la regla para entrar a gmail la hago por rango de ip de google, de la misma forma para hotmail, pero en gmail si accesa y hotmail no...

Voy a pegar mi script de iptables para ilustrar el problema que tengo:

/////////////////////////////////////////////////////////////////////

# IP del servidor squid
MI_SQUID="172.16.0.1"
# Interface conectada a internet
INTERNET="eth0"
# Interface conectada a la LAN
MI_LAN="eth1"
# puerto Squid
PUERTO_SQUID="3128"

# Limpiar reglas iptables anteriores
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Cargar modulos IPTABLES para soporte NAT e IP conntrack
modprobe ip_conntrack
modprobe ip_conntrack_ftp

# Para cliente ftp en windows xp
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward

# abrir gmail (aqui viene el rango de red que quiero dejar pasar por el puerto 443 y el rango de ip que quiero poder accesar, es decir los rangos ip de google, estos los obtuve haciendo una busqueda en arin.net)

iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.254 --dst-range 74.125.0.0-74.125.255.255 -j ACCEPT


# abrir hotmail (aqui es lo mismo que el anterior, solo que aqui no carga la pagina, se queda buscando, como si estuviera cerrado el puerto 443 por medio de drop)

iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.254 --dst-range 64.4.0.0-64.4.63.255 -j ACCEPT


# Posteriormente cierro el puerto 443 de manera predeterminada para ese rango de red

# Cerrar puerto 443 a rango de red determinado (aqui le di cerrar el puerto 443 solo a este rango de red y si funciona, ya que entre con una ip de jefe y puedo abrir paginas hhtps como facebook, hotmail, etc)

iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.254 -j REJECT


# Aqui tengo comentado esta regla de iptables, ya que antes de haber implementado las reglas anteriores, asi bloqueaba al facebook, youtube, etc. Pero el ultrasurf se las brinca

# Bloqueo https facebook a rango de red
# iptables -A FORWARD -m iprange --src-range 172.16.9.0-172.16.9.254 -d 69.171.224.0/19 -j DROP


# Y lo demas que sigue esta por default

# Estableciendo politica automatica de filtrado
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# Acceso ilimitado a loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Permitir UDP, DNS y FTP pasivo
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT

# Establecer el server como router para toda la red
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $MI_LAN -j ACCEPT

# Acceso a la LAN
iptables -A INPUT -i $MI_LAN -j ACCEPT
iptables -A OUTPUT -o $MI_LAN -j ACCEPT

# Peticion DNAT para el puerto 80 que viene de la LAN, redireccionar al puerto 3128 de squid o proxy transparente ($PUERTO_SQUID)
iptables -t nat -A PREROUTING -i $MI_LAN -p tcp --dport 80 -j DNAT --to $MI_SQUID:$PUERTO_SQUID

# Si es el mismo sistema
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $PUERTO_SQUID

# HAcer DROP a lo demas y hacer log a todo
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

///////////////////////////////////////////////////////////////////////7

Despues de ejecutar este script: ULTRASURF BLOQUEADO TOTALMENTE!!!! jejeje Torcido Torcido ,y si deja accesar al servicio 443 de gmail.com

La pregunta o duda que tengo es:
¿Porqué no funciona la regla para hotmail? es decir porque no carga? y gmail no tiene problemas con esto?

Cómo le puedo hacer para accesar a las paginas de bancos abriendo el puerto 443 para el rango de red de usuarios bloqueados? Por ejemplo, bancomer.com.mx maneja un rango de red especifico, pero tambien tiene subredes son como 6 aprox aparte del rango de ip normal...

O mejor dicho, como puedo sguir bloqueando el ULTRASURF bloqueando 443 y seguir viendo paginas que usen este puerto?

Espero haberme explicado y espero sus comentarios y analisis sobre este tema para poder cerrar el ultrasurf en un proxy squid transparente...

Saludos y gracias por leer el post.
 
Perfil
 Citar
pozolero
Publicado en 07/09/11 03:00  

Nuevo
Forum User

Inscrito: 06/07/11 Publicaciones: 14
Alguien que tenga algún comentario, como ven la problemática descrita en el post?

Alguna luz?

Saludos
 
Perfil
 Citar
moy
Publicado en 07/09/11 03:16  

Miembro Activo
Forum User

Inscrito: 29/11/08 Publicaciones: 263
tu tratas de tapar el 443 a esos usuarios para que no jale el ultrasurf, en mi experiencia aunque no he tenido la bronca con el ultrasurf seria mas factible en tu caso que vieras que ips usa ultrasurf para funcionar porque ya cque es un proxy debe de conectarse a algun server para redirigir las peticiones, busca la ip de ese server o las ips y tapalas en general y despues abres el 443 para lo demas, en un caso hace poco que tuve con un amigo teniamos el mismo problema con gmail y hotmail, gmail si funciona y hotmail no entonces sacamos las ips de los sitios como meebo, badoo y esos lugares onde la raza entra para conectarse al face o el msn, los tapamos y listo porque se vuelve complicado tapar para algunas ips para ciertos sitios 443 y para otros no aunque si es posible solo necesitas tener un especial cuidado en el orden de las reglas
 
Perfil
 Citar
pozolero
Publicado en 07/09/11 03:28  

Nuevo
Forum User

Inscrito: 06/07/11 Publicaciones: 14
Quote by: moy

tu tratas de tapar el 443 a esos usuarios para que no jale el ultrasurf, en mi experiencia aunque no he tenido la bronca con el ultrasurf seria mas factible en tu caso que vieras que ips usa ultrasurf para funcionar porque ya cque es un proxy debe de conectarse a algun server para redirigir las peticiones, busca la ip de ese server o las ips y tapalas en general y despues abres el 443 para lo demas, en un caso hace poco que tuve con un amigo teniamos el mismo problema con gmail y hotmail, gmail si funciona y hotmail no entonces sacamos las ips de los sitios como meebo, badoo y esos lugares onde la raza entra para conectarse al face o el msn, los tapamos y listo porque se vuelve complicado tapar para algunas ips para ciertos sitios 443 y para otros no aunque si es posible solo necesitas tener un especial cuidado en el orden de las reglas



Muchas gracias por contestar moy, lo que me comentas es una opcion, pero creo que no podria ser viable, salvo que alguien diga lo contrario aparte de nosotros, porque ultrasurf se conecta a un sinfin de servidores proxy, por lo que bloquear cada ip seria una tarea titanica, ademas que constantemente se van agregando nuevos servers.

Lo que comentas de meebo, badoo y demas, es exactamente lo que estoy haciendo, es decir estoy buscando las ip de sitios como gmail, hotmail, bancos y paginas que aqui en el trabajo son necesarias que necesiten accesar por puerto 443 y bloquear el uso general del puerto 443 solo para el rango de red de las personas con bloqueo.

El ultrasurf permanece bloqueado LOL y con la regla de prueba para accesar a gmail, este rango de red de personas con bloqueo pueden accesar al gmail y el ultrasurf continua siendo bloqueado.

El problema es que no puedo accesar a hotmail usando el mismo tipo de regla que use para gmail, obviamente usando las ip de hotmail... se queda en "esperando a hotmail" y de ahi no pasa, me faltan hacer pruebas para los demas sitios como bancos, escuelas, etc... a ver si no me salen con el mismo problema...

Ojala me haya explicado correctamente, cual es el problemita que tengo o sea el script sirve, pero hotmail no abre poniendo las ip que usa.

De nuevo gracias por contestar
 
Perfil
 Citar
pozolero
Publicado en 08/09/11 03:35  

Nuevo
Forum User

Inscrito: 06/07/11 Publicaciones: 14
Por fin, ya encontre la solucion que me faltaba...

Muchas gracias a todos por ayudarme a encontrar la solucion...

Un saludo a todos en este foro.

P.D. Moraleja: Si se puede bloquear ultrasurf usando squid proxy transparente, con la ayuda de iptables.

Torcido Sr. verde Sr. verde LOL LOL LOL Geek Geek Geek Big Grin Big Grin Razz Razz Razz ¡Sorprendido! ¡Sorprendido! ¡Sorprendido!

POR FAVOR, LE PIDO AL ADMINISTRADOR QUE CIERRE ESTE POST, YA QUE SE PUDO SOLUCIONAR
 
Perfil
 Citar
moy
Publicado en 08/09/11 02:26  

Miembro Activo
Forum User

Inscrito: 29/11/08 Publicaciones: 263
Pues publica la solucion para que la comunidad sepa como hacerlo por eso despues la gente no quiere ayudar porque no publican la solucion
 
Perfil
 Citar
gutierrezr
Publicado en 08/09/11 03:04  

Moderador
Forum User

Inscrito: 28/03/07 Publicaciones: 178
de verdad q si , si deseas ayudar a la comunidad postea para que a otros le sirva!

sldss
 
Perfil
 Citar
pozolero
Publicado en 08/09/11 05:50  

Nuevo
Forum User

Inscrito: 06/07/11 Publicaciones: 14
Yo creo que pongo la solucion en otro post no? para que no se haga mas largo este, como ven?

espero respuestas para que me den luz verde y se haga un pequeño mini-how to para ser considerado dentro de este sitio o algo asi, con mis respectivos creditos... vale?

Saludos
 
Perfil
 Citar
gutierrezr
Publicado en 08/09/11 06:12  

Moderador
Forum User

Inscrito: 28/03/07 Publicaciones: 178
todo lo que quieras hacer es bienvenido, un mini howto o si lo quieres hacer aqui pues adelante ...

slds
 
Perfil
 Citar
moy
Publicado en 08/09/11 07:44  

Miembro Activo
Forum User

Inscrito: 29/11/08 Publicaciones: 263
ponlo aqui y has un mini how to jejejejeje
 
Perfil
 Citar
pozolero
Publicado en 08/09/11 08:44  

Nuevo
Forum User

Inscrito: 06/07/11 Publicaciones: 14
Ya esta hecho el mini how-to aqui dentro de seguridad, viene, porque no supe donde ponerlo...

Esta con el titulo:

BLOQUEAR ULTRASURF CON SQUID TRANSPARENTE E IPTABLES --MINI HOW-TO

Espero sus comentarios, si me falto algo, diganme para ver como le hago para modificar el post, espero los moderadores me ayuden con las correcciones al tema, ya que no se como editar el post una vez publicado.


Saludos

Pozolero
 
Perfil
 Citar
Contenido generado en: 0,22 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 04:24 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado