Muchos administradores de red por internet tienen problemas con el ultrasurf, parece ser que el modelo de administraci\u00f3n basado en ruteo es el problema real.<\/p>\n
Ultrasurf puede ser bloqueado e inutilizado pr\u00e1cticamente al usar una configuraci\u00f3n proxy mas filtrador, sin rutear, por ejemplo squid + squidguard o dansguardian<\/p>\n
El ultrasurf al menos en la versi\u00f3n 10.x que use para este articulo, nunca usa el proxy squid para salir, todo el tiempo intenta encontrar una salida ruteada por la puerta de enlace y para los que proveen el internet ruteado de forma directa es donde vienen los dolores de cabeza, aunque parad\u00f3jico al mismo tiempo, si le estas dejando salir y rutearse, no tendr\u00eda sentido intentar bloquear al ultrasurf salvo sea para evitar navegaci\u00f3n an\u00f3nima.<\/p>\n
Encontr\u00e9 justificaciones para dejar pasar paquetes ruteados, por ejemplo el correo, es necesario que algunos usuarios puedan salir al puerto 25 o 110 para checar correo en servidores for\u00e1neos de la empresa, de esta forma necesitan ruteo, sin embargo la pol\u00edtica m\u00e1s sencilla de administraci\u00f3n es cerrar todo y solo abrir los puertos que sean necesarios. de esa forma el ultrasurf est\u00e1 pr\u00e1cticamente derrotado.<\/p>\n
Un ejemplo de configuraci\u00f3n de correo ruteado y web con filtado en proxy que puede frenar al ultrasurf<\/p>\n
iptables -F
\niptables -t nat -F
\niptables -t filter -F<\/p>\n
#Las lineas anteriores borran dando un FLUSH a toda regla previa, listo
\npara introducir las siguientes reglas<\/p>\n
#Bloqueando cualquier puerto para todos
\niptables -t filter -A FORWARD -s 192.168.0.0\/16 -j DROP # Se
\nbloquea todo lo que no este ACCEPT<\/p>\n
iptables -I FORWARD -p tcp –dport 110 -j
\nACCEPT # Se permite llegar a POP3 en
\ninternet
\niptables -I FORWARD -p tcp –dport 2525 -j ACCEPT #
\nSe permite llegar al puerto 2525, algunos ISP usan este puerto por que
\nesta cerrado el 25 SMTP<\/p>\n
\n#No tocar y no agregar nada mas hacia arriba<\/p>\n
#Prueba de bloqueo ultra surf
\n#iptables -I FORWARD -m mac –mac-source 08:00:27:67:DC:DE -j ACCEPT #
\nLe doy permiso a mi tarjeta de RED, todo los servicios abiertos si se
\ndescomenta la linea<\/p>\n
iptables -t nat -A POSTROUTING -j MASQUERADE # Permite que todo
\nlos servicios de ACCEPT salgan<\/p>\n
Configurandolo para que salga por proxy, usando conexion directa, intenta conectar a estas ips por el puerto SSL 443<\/p>\n
65.49.14.54:443
\n65.49.14.58:443
\n219.84.176.250:443
\n65.49.14.54:443
\n65.49.14.58:443
\n65.49.14.58:443
\n219.84.176.250:443
\n219.84.176.250:443
\ns3.amazonaws.com:443
\ns3.amazonaws.com:443
\nhttp:\/\/74.125.91.105\/gwt\/n?
\nhttp:\/\/74.125.91.103\/gwt\/n?
\nhttp:\/\/74.125.91.103\/gwt\/n?
\nhttp:\/\/gogle.com\/gwt\/n?
\nhttp:\/\/google.de\/gwt\/n?
\nhttp:\/\/www.google.com\/gwt\/n?
\nhttp:\/\/google.com.jm\/gwt\/n?
\n123.204.109.103:443
\n125.230.40.152:443
\n125.230.40.152:443
\n83.222.92.253:443
\n83.222.92.253:443
\n112.105.108.241:443
\n112.105.108.241:443
\n114.43.198.149:443
\n114.43.198.149:443
\n61.31.167.20:443
\n61.227.218.128:443
\n61.227.218.128:443
\n61.31.167.116:443
\n61.31.167.116:443
\n61.31.170.164:443
\n61.31.170.164:443
\n61.31.170.198:443
\n61.31.170.198:443
\n61.31.170.199:443
\n61.31.170.199:443
\n174.24.248.14:443
\n174.24.248.14:443
\n122.122.130.86:443
\n122.122.130.86:443
\n122.122.130.64:443
\n122.122.130.64:443
\n59.112.83.15:443
\n59.112.83.15:443
\n218.163.17.252:443
\n218.163.17.252:443
\n122.123.166.175:443
\n122.123.166.175:443
\n65.49.2.14:443
\n65.49.2.26:443
\n65.49.2.12:443
\n65.49.2.14:443
\n65.49.2.26:443
\n65.49.2.26:443
\n65.49.2.12:443
\n65.49.2.12:443
\n65.49.14.54:443
\n65.49.14.58:443
\n219.84.176.250:443
\n65.49.14.54:443
\n65.49.14.58:443
\n65.49.14.58:443
\n219.84.176.250:443
\n219.84.176.250:443<\/p>\n
Es facil bloquearlo desde squidguard, simplemente no permitir conexiones ip si estas no llevan dominio, ademas de que se puede bloquear las conexiones a las ips listadas<\/p>\n