bloqueo de Ultrasurf y tor Con Squid 2.6.stable5 en Opensuse 12.1

Forums: 

Estimado se que este es un tema ya Tratado pero agradeceria Bastante me Puedan ayudar con este Tema Adjunto el Firewall Que he Encontrado Asi Como el Squid Gracias de Antemano Por Su Valiosa Ayuda.

#Borramos todas las reglas
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT

#Generando politicas por defecto
iptables -P INPUT ACCEPT
#iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
#iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#Regla I
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j MASQUERADE #LAN

#Regla II
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -p udp -s any/0 --sport 53 -d 10.10.10.1/32 --dport 1024:65535 -j ACCEPT
#iptables -A INPUT -p tcp -s any/0 --sport 80 -d 10.10.10.1/32 --dport 1024:65535 -j ACCEPT
#iptables -A INPUT -p udp -s any/0 --sport 53 -d 190.41.204.144/32 --dport 1024:65535 -j ACCEPT
#iptables -A INPUT -p tcp -s any/0 --sport 80 -d 190.41.204.144/32 --dport 1024:65535 -j ACCEPT

#Regla III
iptables -A INPUT -p ICMP -s 10.10.10.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p ICMP -s 10.10.10.0/24 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

#Regla IV
iptables -A INPUT -p tcp -s any/0 --sport 80 -d 192.162.1.24 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p udp -s any/0 --sport 53 -d 181.66.247.24 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s any/0 --sport 443 -d 192.168.1.24 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s any/0 --sport 21 -d 181.66.247.24 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s any/0 --sport 20 -d 181.66.247.24 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 181.66.247.24 -d any/0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 190.41.204.144 -d any/0 --dport 20 -j ACCEPT

iptables -A FORWARD -s 10.10.10.0/24 -d 200.60.223.0/24 -p tcp --dport 443 -j ACCEPT

#Regla V
iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 1433 -j DNAT --to 10.10.10.237:1433
iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 8080 -j DNAT --to 10.10.10.235:8080
iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 1450 -j DNAT --to 10.10.10.237:1450
iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 80 -j DNAT --to 10.10.10.235:80
iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 181.66.247.24 --dport 80 -j DNAT --to 10.10.10.67:80
#iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 1723 -j DNAT --to 10.10.10.237:1723

iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 5901 -j DNAT --to 10.10.10.67:5901

iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 5900 -j DNAT --to 10.10.10.237:5900

iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 800 -j DNAT --to 10.10.10.102:800

iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 3389 -j DNAT --to 10.10.10.182:3389

#Regla VI
iptables -A INPUT -p tcp -s 192.168.1.24 --sport 1024:65535 -d 10.10.10.235 --dport 80 -j ACCEPT

#Regla VII
iptables -A INPUT -p tcp -s 192.168.1.24 --sport 1024:65535 -d 10.10.10.238 --dport 1433 -j ACCEPT

#Regla VIII
iptables -A INPUT -p tcp -s 190.234.144.161 --sport 1024:65535 -d 10.10.10.237 --dport 1433 -j ACCEPT

#Regla IX

iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 5900 -j DNAT --to 10.10.10.181:5900

#Regla X
#iptables -A INPUT -p tcp -s 200.89.11.13 --sport 8080 -d 200.48.52.70/32 --dport 1024:65535 -j ACCEPT

#Regla XI
#iptables -A INPUT -p tcp -s 200.48.248.21 --sport 8084 -d 200.48.52.70/32 --dport 1024:65535 -j ACCEPT
#iptables -A INPUT -p tcp -s 200.48.218.152 --sport 8084 -d 181.66.247.24/32 --dport 1024:65535 -j ACCEPT

#Regla XII
iptables -A INPUT -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d any/0 --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d any/0 --dport 443 -j ACCEPT

#Regla XIII

#Acceso 01
iptables -t nat -A POSTROUTING -s 10.10.10.88/32 -d any/0 -j SNAT --to-source 190.41.204.144
iptables -t nat -A PREROUTING -s 10.10.10.88/32 -d any/0 -j ACCEPT
#acceso 02
iptables -t nat -A POSTROUTING -s 10.10.10.169/32 -d any/0 -j SNAT --to-source 192.168.1.24
iptables -t nat -A PREROUTING -s 10.10.10.169/32 -d any/0 -j ACCEPT
#Acceso 03
iptables -t nat -A POSTROUTING -s 10.10.10.193/32 -d any/0 -j SNAT --to-source 192.168.1.24
iptables -t nat -A PREROUTING -s 10.10.10.193/32 -d any/0 -j ACCEPT
#Acceso 04
#iptables -t nat -A POSTROUTING -s 10.10.10.29/32 -d any/0 -j SNAT --to-source 200.48.52.65
#iptables -t nat -A PREROUTING -s 10.10.10.29/32 -d any/0 -j ACCEPT
#Acceso 05
iptables -t nat -A POSTROUTING -s 10.10.10.216/32 -d any/0 -j SNAT --to-source 200.48.52.65
iptables -t nat -A PREROUTING -s 10.10.10.216/32 -d any/0 -j ACCEPT
#Acceso 06
iptables -t nat -A POSTROUTING -s 10.10.10.21/32 -d any/0 -j SNAT --to-source 200.48.52.65
iptables -t nat -A PREROUTING -s 10.10.10.21/32 -d any/0 -j ACCEPT
#Acceso 07
iptables -t nat -A POSTROUTING -s 10.10.10.55/32 -d any/0 -j SNAT --to-source 200.48.52.65
iptables -t nat -A PREROUTING -s 10.10.10.55/32 -d any/0 -j ACCEPT
#Acceso 08
iptables -t nat -A POSTROUTING -s 10.10.10.91/32 -d any/0 -j SNAT --to-source 200.48.52.65
iptables -t nat -A PREROUTING -s 10.10.10.91/32 -d any/0 -j ACCEPT
#Acceso 09
iptables -t nat -A POSTROUTING -s 10.10.10.199/32 -d any/0 -j SNAT --to-source 192.168.1.24
iptables -t nat -A PREROUTING -s 10.10.10.199/32 -d any/0 -j ACCEPT
#Acceso 10
iptables -t nat -A POSTROUTING -s 10.10.10.67/32 -d any/0 -j SNAT --to-source 192.168.1.24
iptables -t nat -A PREROUTING -s 10.10.10.67/32 -d any/0 -j ACCEPT

#Redireccionando el trafico del puerto 80 de la LAN al puerto proxy
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.0/24 --dport 80 -j REDIRECT --to 3128

#Abro el puerto 22 para conectarme con SSH desde la LAN
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d 10.10.10.232/32 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d 10.10.10.232/32 --dport 22 -j ACCEPT

#Abro los puertos del correo para la LAN (110, 25 y 465)
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d 190.41.204.144/32 --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 190.41.204.144/32 --sport 25 -d 10.10.10.0/24 --dport 1024:65535 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d 190.41.204.144/32 --dport 110 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 190.41.204.144/32 --sport 110 -d 10.10.10.0/24 --dport 1024:65535 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d 192.168.1.24/32 --dport 995 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 181.66.247.24/32 --sport 995 -d 10.10.10.0/24 --dport 1024:65535 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 10.10.10.0/24 --sport 1024:65535 -d 192.168.1.24/32 --dport 465 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 190.40.244.47/32 --sport 465 -d 10.10.10.0/24 --dport 1024:65535 -j ACCEPT

#Abro el puerto de essalud 7779
#iptables -A INPUT -p tcp -s 200.89.11.23 --sport 7779 -d 190.41.204.144/32 --dport 1024:65535 -j ACCEPT
#Abro el puerto para WorkFlow
#iptables -A INPUT -p tcp -s any/0 --sport 9080 -d 190.41.204.144/32 --dport 1024:65535 -j ACCEPT

#Abro el puerto 800 al servidor de las camaras
#iptables -t nat -A PREROUTING -p tcp -s any/0 --sport 1024:65535 -d 192.168.1.24 --dport 800 -j DNAT --to 10.10.10.102:800

Squid :

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

#Palabras prohibidas en la navegacion
acl palabras url_regex -i "/etc/squid/palabras.acl"

#Dominios restringidos
acl nodoms dstdomain "/etc/squid/nodominios.acl"
#IPs Publicas restingidas
acl noips src "/etc/squid/noips.acl"

#Palabras para denegar chat
acl chat url_regex -i "/etc/squid/chat.acl"

#Direcciones donde cualquiera puede acceder
acl dirtodos dstdomain "/etc/squid/dirtodos"
acl iptodos dst "/etc/squid/iptodos"

#Internet Privilegidos con MSN
acl privilegiados src "/etc/squid/privilegiados"

#Internet Normal
acl iplibres src "/etc/squid/iplibres"

#Acceso e IPs GAUDI
acl dirgaudi dst "/etc/squid/dirgaudi"
acl ipgaudi src "/etc/squid/ipgaudi"

#Accesp a Google Earth
acl direarth dstdomain "/etc/squid/direarth"
acl ipearth src "/etc/squid/ipearth"

#Acceso e IPs SAP y antivirus
acl dirsap dst "/etc/squid/dirsap"
acl ipsap src "/etc/squid/ipsap"

#Acceso e IPs Yahoo
acl diryahoo dstdomain "/etc/squid/diryahoo"
acl ipyahoo src "/etc/squid/ipyahoo"

#Restricciones e IPs red DIPE
acl dirdipe dstdomain "/etc/squid/dirdipe"
acl ipdipe src "/etc/squid/ipdipe"
acl dirdipe2 dstdomain "/etc/squid/dirdipe2"
acl ipdipe2 src "/etc/squid/ipdipe2"

#Restricciones e IPs TUPS
acl dirtups dstdomain "/etc/squid/dirtups"
acl iptups src "/etc/squid/iptups"

#Le doy acceso a ciertas maquinas a YouTube
acl dir_youtube dstdomain "/etc/squid/dir_youtube"
acl ipsyoutube src "/etc/squid/ipsyoutube"

#Le doy acceso a ciertas maquinas a FaceBook
acl dirfacebook dstdomain "/etc/squid/dirfacebook"
acl ipsfacebook src "/etc/squid/ipsfacebook"

#Restricciones e IPs PLANTA EXTERNA
#acl dirplanta dst "/etc/squid/dirplanta"
#acl ipplanta src "/etc/squid/ipplanta"

#Acceso web contratas telefonica
acl dircontratas dstdomain "/etc/squid/dircontratas"
acl ipcontratas src "/etc/squid/ipcontratas"

#Restricciones maquinas ABC
acl ips_abc src "/etc/squid/ips_abc.acl"
acl dir_abc dstdomain "/etc/squid/dir_abc.acl"
acl dirip_abc dst "/etc/squid/dirip_abc.acl"

#Acceso Essalud y Sunat
acl ips_sunat src "/etc/squid/ips_sunat.acl"
acl dir_sunat dstdomain "/etc/squid/dir_sunat.acl"

#Acceso correo speedy
acl ips_speedy src "/etc/squid/ips_speedy.acl"
acl dir_speedy dstdomain "/etc/squid/dir_speedy.acl"

#Accesos para Edith Palomino
acl ips_edith src "/etc/squid/ips_edith.acl"
acl dir_edith dstdomain "/etc/squid/dir_edith.acl"

acl SSL_ports port 443
#acl Safe_ports port 8000
acl Safe_ports port 80 8080 # http
acl Safe_ports port 1368 # Prueba
acl Safe_ports port 20 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 3389 # terminal server
acl Safe_ports port 5900 # VNC
acl Safe_ports port 465 # Google Mail
acl Safe_ports port 2230 #Int Social
acl Safe_ports port 400 # Google Mail prueba
acl Safe_ports port 403 # Google Mail prueba02
acl Safe_ports port 993 # Google Mail
acl Safe_ports port 995 # Google Mail
acl Safe_ports port 7779 # ESSALUD
acl Safe_ports port 7777 # ESSALUD
acl Safe_ports port 9080 # agenda gaudi
acl Safe_ports port 8084 # ABC
acl Safe_ports port 8080 # Prueba
acl Safe_ports port 800 # Puerto de las camaras
acl Safe_ports port 8082 # Docuclass
acl Safe_ports port 1465 # Prueba SIC Javier
acl Safe_ports port 403 # Prueba 02
acl Safe_ports port 9113 # Acceso Pruebas de Esfuerzo
#acl Safe_ports port 8090 # ATIS
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#########

http_access allow localhost

#Deniego el acceso a las palabras prohibidas
#http_access deny palabras
#Denegacion de dominios concretos
http_access deny nodoms
http_access deny noips

#Acceso a Facebook y Youtube
http_access allow ipsyoutube
http_access allow ipsfacebook
#Denegacion Youtube al Resto
http_access deny dir_youtube
http_access deny dirfacebook

#http_access allow ipsfacebook

#http_access deny dirfacebook
#http_access deny dir_youtube
http_access allow privilegiados
#Deniego el acceso al chat, messenger
http_access deny chat

http_access allow all dirtodos
http_access allow all iptodos
#Acceso a las IPs con internet normal
http_access allow iplibres

#Deniego el acceso al chat, messenger
#http_access deny chat

#Acceso Youtube (Prueba)
#http_access allow dir_youtube ipsyoutube

#Acceso a las IPs para GAUDI
http_access allow dirgaudi ipgaudi

#Acceso al Google Earth
http_access allow direarth ipearth

#Acceso a las IPs para SAP
http_access allow dirsap ipsap

#Acceso a las IPs para Yahoo
http_access allow diryahoo ipyahoo

#Acceso a las IPs red DIPE
http_access allow dirdipe ipdipe
http_access allow dirdipe2 ipdipe2

#Acceso a las IPs para TUPS
http_access allow dirtups iptups

#Acceso a las IPs para web contratas telefonica
http_access allow dircontratas ipcontratas

#Acesso para maquinas ABC
http_access allow dir_abc ips_abc
http_access allow dirip_abc ips_abc

#Acceso a paginas de Essalud y Sunat
http_access allow dir_sunat ips_sunat

#Acceso a correo Speedy
http_access allow dir_speedy ips_speedy

#Acceso a Edith Palomino
http_access allow dir_edith ips_edith

# And finally deny all other access to this proxy
http_access deny all

Que pereza leer tanto código

Imagen de deathUser

Que pereza leer tanto código ...

Y la gran pregunta es ... Dónde está la pregunta ...???

Por favor se más específico en tu requerimiento, recuerda ... nuestras bolas no son de crsital ... ;)

bye
;)

Disculpa Estimado la pregunta

Disculpa Estimado la pregunta es Como Poder Bloquear Ultrasurf y tor Via Iptables Sin Alterar los Permisos Existentes ó de lo Contrario Como Bloquear el Puerto 443 Para Ultrasurf y Dejar Que Pasen Los demas Accesos Que Figuran de ser Posible.

Consulta

Estimado una Consulta ha Agregado esta Linea
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 10.10.10.232:3128
iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset

y si me Bloquea el Ultrasurf Pero Como Puedo Hacer Para Que Permita Que Puedan Acceder Determinadas Ip Sin Pasar Por el Proxy Como Por Ejemplo

#Acceso 09
iptables -t nat -A POSTROUTING -s 10.10.10.199/32 -d any/0 -j SNAT --to-source 192.168.1.24
iptables -t nat -A PREROUTING -s 10.10.10.199/32 -d any/0 -j ACCEPT

Gracias de Antemano.

es un tema ya resuelto usando

Imagen de falcom

hace algun tiempo ya puse la respuesta aca mismo, es un tema ya resuelto usando fail2ban
http://www.ecualug.org/?q=20121213/como_bloquear_ultrasurf_usando_iptablesfail2ban/como_bloquear_ultrasurf_usando_iptablesfail2ban