Yazılar

Linux iptables ile ultrasurf 13.03 engelleme

Önceki ultrasurf versiyonu ile ilgili yazımın güncellenmiş versiyonudur.Anlamadığınız eksik kalan noktalar varsa önce o yazıyı okumanız gerekebilir.

Ultrasurf 13.03 engelleme için güncel iptables kuralları aşağıdadır.

iptables -I FORWARD -m tcp -p tcp –dport 443 -m string –to 256 –hex-string ‘|16030000610100005d0300|’ –algo bm -j DROP

iptables -I FORWARD -m tcp -p tcp –dport 443 -m string –to 256 –hex-string ‘|160301013c010001380303|’ –algo bm -j DROP

iptables -I FORWARD -i eth0 -p tcp –dport 1024:65535 -j DROP

Son yazdığım kuraldan tam emin değilim.İlk iki kuralı sabit tutarak 3.kuralı deneyerek sonucu görebilirsiniz.

Yine 3.kuraldaki -i eth0 benim gw sunucusunun iç bacağı.Yani istemcilerin bulunduğu network.Bunu da kendinize göre uyarlayın.

Sonuç:

3-4 kez ultrasurf’un açmayı denedim.Uzunca bir süre sonra hiç bir sunucuya bağlanamayınca pes ediyor.Umarım bu testler yeterli olmuştur.

Hiç yoktan (yeni versiyon çıktığını bilmiyordum doğrusu ) bu mesele ile tekrar uğraşmama vesile olan okay arkadaşıma ayrıca teşekkürler.

Linux iptables ile ultrasurf engelleme

Pfsense kurup networkünü yönetmekte olduğum müşterimin bir gün bana çılgıncasına “ultrasurf diye bişey bulmuşlar her yere giriyorlarrrrrrr!” şeklinde asabi haykırışı akabinde pfsense’de nasıl ultrasurf engellenir diye araştırmaya koyuldum.Gece saat 3.Sonuç yok.Zaten forum.pfsense’deki kullanıcılarda uyumakta.Ben çaresiz!

Bu google’ın büyük işler yaptığını kabul ediyorum ama yine de pek sevemiyorum.Ancak google veya “arama motoru” olmasaydı bu işler nasıl hallolurdu bilemiyorum.

Ararken tararken kısa bir ipucu buldum.http://pere.bocairent.net/?p=57

Yazının tarihini görünce ultrasurf’çülerin bu işi değiştirmiş olduğunu düşündüm.Müşterimin networkunda bir pc ye wireshark kurdum.Aynı pc de ultrasurf’ü çalıştırdım.Tahmin ettiğim gibi hex kodu değişmişti.

Ağ geçidi olarak çalışan pfsense ‘e snort kurdum.Hex kodunu kullanarak uygun bir kural yazdım.Evet.Kural match!Fekat?

Çok da uğraştığımı söyleyemem ama snort kuralı tanıdığı halde drop etmiyor.Hay bin kunduz!Döndük Baba Ocağına!

Sonuç olarak ağ geçidine bir de linux ekleyerek bu iş çözüldü.Hem de tek bir iptables satırıyla…

iptables -I FORWARD -m tcp -p tcp –dport 443 -m string –to 256 –hex-string ‘|16030000610100005d0300|’ –algo bm -j DROP

 

Not: Bu çözüm indirdiğiniz ultrasurf paketine göre değişebilir.Benim güncel olarak denediğim u1301.exe.Sanyorum 13.01 versiyonu.Yukarıdaki linke bakarsanız wiresharkta dikkat çekilmiş SSL Handshake esnasındaki paketindekin içeriğine göre iptablestaki hex satırını değiştirebilirsiniz.

Not2: Bu metallica ve more beer da neyin nesi diyenlere..yazıyı yazarken bira içiyordum.aklıma öylesine geliverdi.

Not3: Kopyala yapıştır olmasaydı sysadmin nasıl olunurdu?