proxy anonymizer (ultrasurf)

Publicado en 'Redes Inalámbricas' por linuchero, 17 Dic 2011.





  1. linuchero

    linuchero Miembro nuevo

    Registro:
    24 Jul 2011
    Mensajes:
    23
    Likes:
    0




    Que tal amigos del foro, ya postee este tema en otro foro, no se si este permitido, pero lo hare. Si hay algun inconveniente les pido me lo hagan saber para que elimine el tema, pero tengo un detalle que no logro resolver, les explico:

    Actualmente acabo de diseñar una red para un corporativo y he obtenido excelentes resultados con mikrotik. En un rb750GL balanceo 4 lineas adsl y en un rb1100 tengo la administracion de los usuarios.

    Dentro de la administracion, he creado web-proxy (sin cache) para bloqueos (ciertos usuarios con diferentes privilegios) y para otros grupos he bloqueado msn 100% efectivo con layer7.

    Posteriormente quisiera armar un thundercache para colocarlo en paralelo al rb1100 pero aun no he leido mucho acerca de esto, ya lo haré.

    Mi inquietud ahora es que el grupo de informatica del corporativo solo andan buscando como quitarse del proxy para poder navegar libremente, he leido que con los proxy's anonimos como ultrasurf logran hacer eso, no se que tan vulnerable sea mikrotik a esto, pero no quisiera arriesgarme, si hubiera algunas reglas para poder bloquear los accesos a programas como estos ultrasurf entre otros, se los agradeceria mucho.

    Entre la poca informacion que encontre, lei que se puede bloquear el acceso al proxy externo, pero no estoy seguro si esto servira para mi situacion. Tambien facilmente podria bloquearlo con OpenDNS ya que este si lo bloquea, pero tendria que aplicarlo para todos, y yo tengo grupos con diferentes privilegios por lo cual, no me funcionaria.

    Quedo en espera de sus comentarios, desde ya!

    Gracias y un abrazo
     


  2. Mahatma G

    Mahatma G Miembro maestro

    Registro:
    8 Oct 2010
    Mensajes:
    942
    Likes:
    125
    Bueno lo unico que te puedo decir es que si piensas usar thundercache ya no podrás utilizar el webproxy de mikrotik, porque cuando me instalaron el thundercache no me agrado la idea de ya no usar el webproxy, y por mas que el tecnico trato de hacer que trabaje el webproxy poniendo al thunder como parent proxy no funcionaba bien, se caia la coxexion solo con 1 cliente conectado el internet era pesimo, y hasta ahora mi servidor mikrotik se quedo asi sin poder utilizar el webproxy ¬¬ , uso el thunder en paralelo com mikrotik y eso me priva de muchas cosas :jum: .:hi:
     
    Última edición: 17 Dic 2011
  3. linuchero

    linuchero Miembro nuevo

    Registro:
    24 Jul 2011
    Mensajes:
    23
    Likes:
    0
    Gracias por tu aporte amigo Mahatma G, segun sabia que al utilizar el thunder se tenia que desactivar el proxy de mkt para que el thunder junto con squid tambien la hicieran de proxy, no estoy muy seguro ya que apenas estoy leyendo sobre thunder. Ya tengo la pc a utilizar, pero apenas voy a leer para configurar!!!

    Saludos amigo, un abrazo
     
  4. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    YOUR FREEDOM : es una aplicación que en su momento me genero muchos dolores de cabeza por que proxeamos todo 80 , pero estas aplicaciones hacen correr la navegacion por 443 , udp , 21 finalmente , armamos un firewall mikrotik donde bloqueamos todos los puertos tanto UDP , TCP y solo salian puertos necesarios de los cuales en 443 hizimos un adresess list de ips publicos de los bancos mas usados , y solucionado ese tema.

    saludos,

    BERNARDO PILLACA G.
     
  5. linuchero

    linuchero Miembro nuevo

    Registro:
    24 Jul 2011
    Mensajes:
    23
    Likes:
    0
    que tan confiable es bloquearlo con opendns?
     
  6. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    confiable , pero no tienes control de las paginas que hay veces crees que no deberian estar en lista negra , en este caso lo que se me viene ala cabeza es que crees una VPNs PPPOE con los clientes que quieres que usen DNS que les asignes para ellos y salgan por otros dns , o quizas crear un SERVERS DNS y redireccionar las peticiones a ese server DNS. yo si solucione diferente no por este medio.como lo explico.

    saludos,


    BERNARDO PILLACA G.
     
  7. linuchero

    linuchero Miembro nuevo

    Registro:
    24 Jul 2011
    Mensajes:
    23
    Likes:
    0
    lei aqui un tema acerca de crear un adress list (lista blanca) el problema esque el proyecto es para una oficina de gobierno, entonces me llamarian a cada rato para que agregue mas paginas al adress list.

    Y como siempre, hay gente en informatica que esta buscando soluciones para saltarse el proxy, ya no se que hacer :(
     
  8. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    jajajaja , asi es existen informaticos locos :biggrin:
     
  9. PAPA PIRAÑA

    PAPA PIRAÑA Miembro maestro

    Registro:
    30 Jun 2011
    Mensajes:
    312
    Likes:
    25
    yo te aconsejo q pruebes con pfsense donde puedes instalar el videocache full sin pagarle nada a nadies y te permitiria hacer lo que tu quieres con squidguard donde podrias poner que maquinas sales y cuales no sino por rango de ips sin lagear el cache cualquier cosa te explico mejor por mp
     
  10. linuchero

    linuchero Miembro nuevo

    Registro:
    24 Jul 2011
    Mensajes:
    23
    Likes:
    0
    He tenido la inquietud de implementar un pfsense (anteriormente usaba clearOS y ahora mikrotik) pero aun quiero hacerlo. Si me pudieras mandar un mp sobre pfsense te estaria muy agradecido. Lo implementaria para mi proximo nodo :wow:y aprovechando, el modulo de videocache es propio de pfsense o se implementa en paralelo como un thunder?

    Te agradezco mucho amigo, gracias

    ----- mensaje añadido, 20-dic-2011 a las 22:36 -----

    EN TODOS LADOS!!!!! ajajajaaj saludos amigo, y muchas gracias por tu respuestas! Tratare de hacerlo por adress list, haber que tal me va, gracias
     
  11. PAPA PIRAÑA

    PAPA PIRAÑA Miembro maestro

    Registro:
    30 Jun 2011
    Mensajes:
    312
    Likes:
    25
    investigando mas me puse a hacer pruebas el pfsense tiene filtrado en capa 7 ya lo he configurado y estoy haciendo las pruebas del caso aun no tengo exito algo me falta pero ya lo hallare y te comentare si puedes probar por tu lado seria estupendo para intercambiar experiencias
     
  12. PAPA PIRAÑA

    PAPA PIRAÑA Miembro maestro

    Registro:
    30 Jun 2011
    Mensajes:
    312
    Likes:
    25
    Eureka Eureka¡¡¡¡¡ ahora si ya puedo bloquear el ultrasurff me dio mucho trabajo pero lo logre termine las pruebas con las versiones u1008 y u1103 que es la ultima y todo fino en la primera sale no se puede conectar con el server y en la segunda solo se queda buscando y no sale use una lista de bloqueo de ips que usa el ultrasurff aproximadamente 309223 direcciones ip bloqueadas y listo corre fino pero aun asi voy a seguir probando saludos dejen li..
     
  13. linuchero

    linuchero Miembro nuevo

    Registro:
    24 Jul 2011
    Mensajes:
    23
    Likes:
    0
    Aun no he hecho pruebas amigo, con el opendns si lo bloqueaba bien. Ahora tu lo lograste bloquear con layer7 en pfsense? o explicanos como lo hiciste!! gracias y felicidades por tu buen logro!!!!! Sensei
     
  14. PAPA PIRAÑA

    PAPA PIRAÑA Miembro maestro

    Registro:
    30 Jun 2011
    Mensajes:
    312
    Likes:
    25
    lo que hice fue instalar en el pfsense el paquete ipblocklist y el paquete countryblock y agregar las direcciones de los servidores que usa ultrasurff y logre bloquearlo
     
  15. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    La conclusion es la misma :

    ip firewall address-list
    add address=65.49.0.0/17 comment="" disabled=no list=UltraSurfServers
    add address=204.107.140.0/24 comment="" disabled=no list=UltraSurfServers


    ip firewall mangle
    add action=add-src-to-address-list address-list=UltraSurfUsers \
    address-list-timeout=5m chain=prerouting comment=UltraSurfUsers disabled=\
    no dst-address-list=UltraSurfServers dst-port=443 protocol=tcp


    ip firewall filter
    add action=drop chain=forward comment="Block UltraSurf" disabled=no dst-port=\
    443 protocol=tcp src-address-list=UltraSurfUsers


    saludos

    BERNARDO PILLACA G.
     
  16. hacker0063

    hacker0063 Miembro nuevo

    Registro:
    21 Mar 2012
    Mensajes:
    1
    Likes:
    0
    Hola, pueden, ayudarme, a bloquear el ultrasurf, en pfsense. porfavor, y si es con layer 7 o con las ip, que paquetes debo de tener, o los pasos a seguir, estoy con squid y squidguard, y si el squid es en modo transparente o no??? !!!

    De antemano Muchas gracias. a todos lo linuxer0s.
     
  17. Kamicase

    Kamicase Miembro maestro

    Registro:
    30 Mar 2011
    Mensajes:
    417
    Likes:
    6
    Man estoy empesando con mk, me podrias poner eso como se haria con el winbox....
    muchas gracias...