Hola a todos en el foro, estoy escribiendo este mini how-to para ilustrar a todas aquellas personas que como yo, no somos ingenieros en sistemas o tenemos conocimientos sobre seguridad.
Me imagino que como muchos, busque y busque y volvi a buscar informacion sobre como bloquear el famoso ultrasurf en un ambiente squid transparente.

Por ahi he leido que no se puede, que para bloquear ultrasurf debe de ser sobre un ambiente squid por autenticacion o squid por ip de usuario o squid por mac-address + ip de usuario, etc...

Además he leido tutoriales, how-to's, manuales, etc. a medias, es decir vienen incompletos, no funcionan o no te dicen todos los pasos

Pues bien, yo si pude bloquear ultrasurf por squid transparente y sitios https y voy a poner los pasos que realice.

Obviamente cada uno deberá de tener su configuracion de squid modo transparente con todas sus reglas o acl o archivos para acl ya configurados, funcionando y filtrando correctamente

MI PROBLEMATICA
Actualmente tenemos en el trabajo un servidor ubuntu server 11.04, squid transparente y las direcciones ip asignadas por dhcp.

Cuento con 2 rangos de red para cada grupo de trabajo, es decir, los usuarios a los que se bloquea el acceso a sitios no permitidos estan sobre el rango de red: 172.16.9.0 al 172.16.9.255

Los usuarios sin restricciones o jefes de la oficina pueden navegar libremente y estan sobre el rango de red: 172.16.0.100 al 172.16.0.150

Pero dentro del rango de red de las personas que se les bloquea ciertas paginas, existen 2 o 3 pelandrufos que pensaron podian usar el ultrasurf para pasar por alto la seguridad de la red y navegar por su feis bus, twitter, youtube o descargar cualquier programa.

Entonces vino la tarea de investigar cómo demonios bloquear el puerto 443 que es el que usa ultrasurf para salir al exterior y con esto bloquear a estos pelandrufos.

Pues bien, la solucion viene de la siguiente manera:


1.- Bloquear el puerto 443 para ese rango de red. Pero si el puerto 443 esta bloqueado, que pasa con el correo, bancos, instituciones, etc? pues bien, aqui esta la otra parte de la solucion, se tiene que ir abriendo cada uno de los sitios que vamos a necesitar de la siguiente forma:

Por ejemplo:

// En el script de iptables se debe de dar de alta cada sitio que queremos accesar:

# GOOGLE GMAIL
iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.255 --dst-range 74.125.0.0-74.125.255.255 -j ACCEPT

Aqui lo que hice fue aceptar las conexiones al exterior por el puerto 443, al rango de red 172.16.9.0 al 172.16.9.255 hacia el rango de red que usa google, youtube, gmail, que a fin de cuentas son los mismos.

2.- Postariormente se debe de bloquear el puerto 443 para ese rango de red, para evitar que ultrasurf se conecte a sus servers y navegue libremente, lo cual hice de la siguiente forma:


# BLOQUEAR 443 PARA RANGO A RED DE PERSONAS CON BLOQUEO
iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 172.16.9.0-172.16.9.254 -j REJECT

Esta regla en lo personal la puse despues de aceptar las conexiones al puerto 443 de google, para posteriormente cerrar el puerto.

Me imagino que la primera regla lo que hace es aceptar las conexiones a las ip de google por medio del puerto 443 y todo las ip que no pertenezcan al rango de ip's de google, por defecto se rechazan por medio del cierre del puerto.

De esta forma se puede ir añadiendo todos aquellos sitios que necesitemos, para ser accesados por medio de conexiones seguras, https o puerto 443...

Espero haber sido claro y me pongan sus comentarios al respecto de este mini how-to.

Un saludo para todos

POZOLERO

Algo parecido a esto pero con Facebook
Como bloquear los sitios seguros facebook, twitter, imo y meebo con Squid Proxy y Shorewall

Saludos !!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]

No mi estimado William--lee bien el post, porque ahi no estoy diciendo como bloquear el facebook, meebo, etc estoy diciendo bloquear todo el puerto 443, dar acceso solo a las paginas que queremos y de paso bloquear el ultrasurf permanentemente...
recontra

Nunca mencione que era IGUAL a lo que dices, por eso dije PARECIDO, ya que en el manual que te mostre de igual forma se bloquea el puerto de seguridad 443 e igual forma dar acceso a sitios que uno quiere por medio del puerto 80 para controlarlo mejor por squid transparente.


Saludos !!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]

Sopas, entendido y anotado...

Saludos mi William

Que tal, una duda pudiste resolver el acceso a hotmail, ya que no lo explicas en este How. Espero venga algo de luz con tu ayuda. Saludos

De hecho se resuelve de la misma forma en la que aparece al inicio.

En el ejemplo hablo sobre el caso de permitir a google utilizar el puerto 443.

Lo que debes de hacer es lo mismo para hotmail, pero ahi se manejan mucho mas direcciones ip, ya que se conecta a diferentes servidores, como por ejemplo akamai.net y cosas por el estilo.

Te voy a poner el ejemplo para usar puerto 443 para hotmail:




Aqui es igual para hotmail, pero deberás buscar uno por uno los servidores de hotmail a bloquear. Para darte una idea, al entrar al correo de hotmail, en la barra de estado del navegador, que se encuentra en la parte de abajo de la ventana, aparecen muy rapido los servidores a los que se conecta, de ahi uno por uno deberas buscar el rango de red para cada servidor y poner la ip de cada servidor en una linea de tu script de iptables.

Hazlo y si tienes mas dudas de como hacerlo avisame y te apoyo.

Saludos

Este post puede ser de gran ayuda
http://www.maravento.com/2013/03/firewall.html

Hola Joel publicó la respuesta hace algún tiempo:

http://www.alcancelibre.org/article.php/bloqueando-your-feedom-ultrasurf?query=ultrasurf

Saludos.

gracias por el post. muy bueno