Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 Bloquear Ultrasurf con Squid transparente e iptables --mini how-to
Tema anterior Tema siguiente
   
pozolero
Publicado en 08/09/11 08:39 (Leído 17898 veces)  

Nuevo

Estado: desconectado
Forum User

Inscrito: 06/07/11
Publicaciones: 14
Hola a todos en el foro, estoy escribiendo este mini how-to para ilustrar a todas aquellas personas que como yo, no somos ingenieros en sistemas o tenemos conocimientos sobre seguridad.
Me imagino que como muchos, busque y busque y volvi a buscar informacion sobre como bloquear el famoso ultrasurf en un ambiente squid transparente.

Por ahi he leido que no se puede, que para bloquear ultrasurf debe de ser sobre un ambiente squid por autenticacion o squid por ip de usuario o squid por mac-address + ip de usuario, etc...

Además he leido tutoriales, how-to's, manuales, etc. a medias, es decir vienen incompletos, no funcionan o no te dicen todos los pasos

Pues bien, yo si pude bloquear ultrasurf por squid transparente y sitios https y voy a poner los pasos que realice.

Obviamente cada uno deberá de tener su configuracion de squid modo transparente con todas sus reglas o acl o archivos para acl ya configurados, funcionando y filtrando correctamente

MI PROBLEMATICA
Actualmente tenemos en el trabajo un servidor ubuntu server 11.04, squid transparente y las direcciones ip asignadas por dhcp.

Cuento con 2 rangos de red para cada grupo de trabajo, es decir, los usuarios a los que se bloquea el acceso a sitios no permitidos estan sobre el rango de red: 172.16.9.0 al 172.16.9.255

Los usuarios sin restricciones o jefes de la oficina pueden navegar libremente y estan sobre el rango de red: 172.16.0.100 al 172.16.0.150

Pero dentro del rango de red de las personas que se les bloquea ciertas paginas, existen 2 o 3 pelandrufos que pensaron podian usar el ultrasurf para pasar por alto la seguridad de la red y navegar por su feis bus, twitter, youtube o descargar cualquier programa.

Entonces vino la tarea de investigar cómo demonios bloquear el puerto 443 que es el que usa ultrasurf para salir al exterior y con esto bloquear a estos pelandrufos.

Pues bien, la solucion viene de la siguiente manera:


1.- Bloquear el puerto 443 para ese rango de red. Pero si el puerto 443 esta bloqueado, que pasa con el correo, bancos, instituciones, etc? pues bien, aqui esta la otra parte de la solucion, se tiene que ir abriendo cada uno de los sitios que vamos a necesitar de la siguiente forma:

Por ejemplo:

// En el script de iptables se debe de dar de alta cada sitio que queremos accesar:

# GOOGLE GMAIL
iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.255 --dst-range 74.125.0.0-74.125.255.255 -j ACCEPT

Aqui lo que hice fue aceptar las conexiones al exterior por el puerto 443, al rango de red 172.16.9.0 al 172.16.9.255 hacia el rango de red que usa google, youtube, gmail, que a fin de cuentas son los mismos.

2.- Postariormente se debe de bloquear el puerto 443 para ese rango de red, para evitar que ultrasurf se conecte a sus servers y navegue libremente, lo cual hice de la siguiente forma:


# BLOQUEAR 443 PARA RANGO A RED DE PERSONAS CON BLOQUEO
iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.254 -j REJECT

Esta regla en lo personal la puse despues de aceptar las conexiones al puerto 443 de google, para posteriormente cerrar el puerto.

Me imagino que la primera regla lo que hace es aceptar las conexiones a las ip de google por medio del puerto 443 y todo las ip que no pertenezcan al rango de ip's de google, por defecto se rechazan por medio del cierre del puerto.

De esta forma se puede ir añadiendo todos aquellos sitios que necesitemos, para ser accesados por medio de conexiones seguras, https o puerto 443...

Espero haber sido claro y me pongan sus comentarios al respecto de este mini how-to.

Un saludo para todos

POZOLERO
 
Perfil
 Citar
Will Lpz Jimnz
Publicado en 12/09/11 04:00  

Admin

Estado: desconectado
Site Admin

Inscrito: 19/02/07
Publicaciones: 180
País:Mexico

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Perfil Sitio Web
 Citar
pozolero
Publicado en 12/09/11 04:19  

Nuevo

Estado: desconectado
Forum User

Inscrito: 06/07/11
Publicaciones: 14
Quote by: William+Lopez+Jimenez+%28KoalaSoft%29

Algo parecido a esto pero con Facebook
https://koalasoft.wordpress.com/manuales/como-bloquear-los-sitios-seguros-facebook-imo-y-meebo-con-squid-proxy-y-shorewall/

Saludos !! Sr. verde




No mi estimado William--lee bien el post, porque ahi no estoy diciendo como bloquear el facebook, meebo, etc estoy diciendo bloquear todo el puerto 443, dar acceso solo a las paginas que queremos y de paso bloquear el ultrasurf permanentemente...
recontra Sr. verde Sr. verde
 
Perfil
 Citar
Will Lpz Jimnz
Publicado en 12/09/11 04:29  

Admin

Estado: desconectado
Site Admin

Inscrito: 19/02/07
Publicaciones: 180
País:Mexico
Quote by: pozolero


No mi estimado William--lee bien el post, porque ahi no estoy diciendo como bloquear el facebook, meebo, etc estoy diciendo bloquear todo el puerto 443, dar acceso solo a las paginas que queremos y de paso bloquear el ultrasurf permanentemente...
recontra Sr. verde Sr. verde


Nunca mencione que era IGUAL a lo que dices, por eso dije PARECIDO, ya que en el manual que te mostre de igual forma se bloquea el puerto de seguridad 443 e igual forma dar acceso a sitios que uno quiere por medio del puerto 80 para controlarlo mejor por squid transparente. Neutral


Saludos !! Sr. verde

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Perfil Sitio Web
 Citar
pozolero
Publicado en 12/09/11 05:12  

Nuevo

Estado: desconectado
Forum User

Inscrito: 06/07/11
Publicaciones: 14
Quote by: William+Lopez+Jimenez+%28KoalaSoft%29

Quote by: pozolero


No mi estimado William--lee bien el post, porque ahi no estoy diciendo como bloquear el facebook, meebo, etc estoy diciendo bloquear todo el puerto 443, dar acceso solo a las paginas que queremos y de paso bloquear el ultrasurf permanentemente...
recontra Sr. verde Sr. verde


Nunca mencione que era IGUAL a lo que dices, por eso dije PARECIDO, ya que en el manual que te mostre de igual forma se bloquea el puerto de seguridad 443 e igual forma dar acceso a sitios que uno quiere por medio del puerto 80 para controlarlo mejor por squid transparente. Neutral


Saludos !! Sr. verde



Sopas, entendido y anotado...

Saludos mi William
 
Perfil
 Citar
zathiro
Publicado en 17/11/11 11:11  

Nuevo

Estado: desconectado
Forum User

Inscrito: 17/11/11
Publicaciones: 1
Que tal, una duda pudiste resolver el acceso a hotmail, ya que no lo explicas en este How. Espero venga algo de luz con tu ayuda. Saludos
 
Perfil
 Citar
pozolero
Publicado en 18/11/11 03:20  

Nuevo

Estado: desconectado
Forum User

Inscrito: 06/07/11
Publicaciones: 14
Quote by: zathiro

Que tal, una duda pudiste resolver el acceso a hotmail, ya que no lo explicas en este How.
Espero venga algo de luz con tu ayuda.

Saludos



De hecho se resuelve de la misma forma en la que aparece al inicio.

En el ejemplo hablo sobre el caso de permitir a google utilizar el puerto 443.

Lo que debes de hacer es lo mismo para hotmail, pero ahi se manejan mucho mas direcciones ip, ya que se conecta a diferentes servidores, como por ejemplo akamai.net y cosas por el estilo.

Te voy a poner el ejemplo para usar puerto 443 para hotmail:


PHP Formatted Code
# GOOGLE GMAIL
iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.255 --dst-range 74.125.0.0-74.125.255.255 -j ACCEPT
 


Aqui es igual para hotmail, pero deberás buscar uno por uno los servidores de hotmail a bloquear. Para darte una idea, al entrar al correo de hotmail, en la barra de estado del navegador, que se encuentra en la parte de abajo de la ventana, aparecen muy rapido los servidores a los que se conecta, de ahi uno por uno deberas buscar el rango de red para cada servidor y poner la ip de cada servidor en una linea de tu script de iptables.

Hazlo y si tienes mas dudas de como hacerlo avisame y te apoyo.

Saludos
 
Perfil
 Citar
alej calero
Publicado en 24/06/13 10:28  

Nuevo

Estado: desconectado
Forum User

Inscrito: 24/06/13
Publicaciones: 2
Este post puede ser de gran ayuda
http://www.maravento.com/2013/03/firewall.html
 
Perfil
 Citar
daom11
Publicado en 25/06/13 12:34  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 12/03/07
Publicaciones: 61
Hola Joel publicó la respuesta hace algún tiempo:

http://www.alcancelibre.org/article.php/bloqueando-your-feedom-ultrasurf?query=ultrasurf

Saludos.
 
Perfil
 Citar
alej calero
Publicado en 05/09/13 05:04  

Nuevo

Estado: desconectado
Forum User

Inscrito: 24/06/13
Publicaciones: 2
gracias por el post. muy bueno
 
Perfil
 Citar
Contenido generado en: 0,31 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 12:40 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado