en realidad para eso te conviene seguir usando TOR. por defecto squid no revisa paquetes por ssl (porque van encriptado), por lo tanto tambien hay que bloquear el puerto 443.. y ahi ya mataste a TOR y ultrasurfs....... claro, tambien le arruinaste al vida a todos los que quieran hacer una conexion segura a gmail o cosas asi... por eso tenes que ponerte a ver las reglas con detenimiento para abrir el paso de info con cuenta gotas a tus usuarios "de confianza" (lease la gente que te paga).
donde manda captian no manda marinero y definitivamente mi patria es el dinero :-P (me salio con rima y todo) El 5 de octubre de 2011 16:06, Marcos G. <[email protected]> escribió: > On Wed 05 Oct 2011 14:59:10 basel valentin wrote: > > pero ultrasurf lo que hace es probar cada un minuto el puerto y saltar de > > uno a otro en funcion de si esta bloqueado o no. > > aparte de ir conectandote automaticamente a varios proxies > > automaticamente.... es un infiernillo de programa. osea que si yo te > > bloqueo el puerto 2000, al minuto ultrasurf se conecta al 2001, 2002,2003 > > etc.... > > ok, aún así supongo que eso sería sencillo de pasar por encima usando algo > como proxychains > > el cual testea si tal proxy anda bien, a partir de una lista de proxies... > > ponele que si tenés en /etc/proxychains.conf algo así: > > > # defaults set to "tor" > socks5 127.0.0.1 9050 > socks5 127.0.0.1 2000 > socks5 127.0.0.1 2001 > socks5 127.0.0.1 2002 > socks5 127.0.0.1 2003 > socks5 127.0.0.1 2004 > socks5 127.0.0.1 2005 > socks5 127.0.0.1 2006 > socks5 127.0.0.1 2007 > > y lanzás firefox así: > > proxychains firefox > > Proxychains irá fijándose qué proxy (al azar o no) está disponible y lo > usará > > claro que la joda es que, en ese ejemplo, además de tor tendrías que tener > 8 proxies más... pero > podrías variar el número de puerto del/los proxy/ies en localhost y volver > a navegar...¿? > > > > es mas, no se como, pero usa google como tunel para mandar la > > info. > > raro > > > yo sigo haciendo pruebas para bloquear ese tipo de navegacion pero no > > comprometer las conexiones ssl (que no necesariamente deberian ser > > rechazadas). > > > > El 5 de octubre de 2011 14:52, Marcos G. <[email protected]> escribió: > > > On Wed 05 Oct 2011 13:40:29 basel valentin wrote: > > > > ultrasurf te hace navegar por web proxis anonimos y enmascara tu ip. > > > > mas o menos el mecanismo es hacer una conexion ssl a un lista de > proxis > > > > interminable a los que les hace las peticiones (encriptadas) , los > > > > proxis navegan y le devuelven la pagina... salteando la seguridad y > > > > los firewall.... tambien va probando puertos para evitar que le > > > > bloqueen un puerto de salida (en principio sale por el 9666 segun lo > > > > que vi)... hace una cosa muy rara que es transformar a localhost > > > > (127.0.0.0) en un servidor proxy, internet explorer apuntaa ese proxy > > > > (127.0.0.0:9666) y > > > > > > ese > > > > > > > proxy que es ultrasurf, hace el resto de la magia. > > > > > > está bien, eso último es como hacer un tunel ssh > > > > > > ssh -D 2000 [email protected] > > > > > > ahí usarías en firefox 127.0.0.1 en el puerto 2000 para navegar usando > el > > > tunel ssh > > > > > > supongo que desde GNU/Linux , pudiéndose hacer ese tunel, se podría > pasar > > > por encima de las > > > restricciones que citás? > > > > > > > para linux supongo que lo mejor son las redes TOR.... el tema con > > > > > > ultrasurf > > > > > > > es que vos navegas anonimamente en tu red....... pero el que controla > > > > el proxy (y vos no sabes quien es) no te regala espacio porque si, > > > > para algo usan tu info ;-) > > > > > > > > es bastante difil de bloquear sin bloquear las conexiones ssl (que es > > > > lo que hicieron los chinos por cierto) > > > > > > > > El 5 de octubre de 2011 13:29, Marcos G. <[email protected]> > escribió: > > > > > On Wed 05 Oct 2011 10:00:01 basel valentin wrote: > > > > > > probe ultrasurf, y si no bloqueas tooodooos los puertos, logra > > > > > > salir > > > > > > > > > > > > :-( > > > > > > > > > > Hay algo como ultrasurf en Software Libre? > > > > > > > > > > ¿Qué hace el programa exactamente? > > > > > > > > > > > mi recomendación seria separar la red en usuarios de confianza y > > > > > > comunes. > > > > > > > > > > a > > > > > > > > > > > los comunes les bloqueo absolutamente todo menos el puerto 80 > > > > > > (redireccionado al 3128 del squid). > > > > > > a los de confianza los tiro por una sub red echa con el server > dhcp > > > > > > > > > > (dando > > > > > > > > > > > ips en fuincion de la mac) y abro los puertos. > > > > > > > > > > > > es bastante restrictivo, pero intuyo que un laboratorio de > > > > > > informatica > > > > > > > > > escolar no deberia tener tanta salida al exterior. > > > > > > > > > > > > con los websproxys anda barbaro a no ser que sean conexiones ssl > > > > > > (las cuales bloqueas y punto). > > > > > > > > > > > > El 5 de octubre de 2011 09:46, basel valentin < > > > > > > [email protected] > > > > > > > > >escribió: > > > > > > > la unica forma que no pase por tu proxy es que sea https, si la > > > > > > info > > > > > > > > > > no va encriptada, por mas redes tor o webproxys que uses caen > por > > > > > > tu > > > > > > > > > > squid que analiza palabras claves. > > > > > > > si es https... bloqueas con shorewall :-D > > > > > > > > > > > > > > <risa malevola> > > > > > > > muajua jua jua jua > > > > > > > </risa malevola> > > > > > > > > > > > > > > total, separas fisicamente internet de la red con el router (2 > > > > > > placas > > > > > > > > de > > > > > > > > > > > > red). > > > > > > > es una muy bunea solucion, sobre todo si aprovechas > herramientas > > > > > > > y > > > > > > > > > > haces > > > > > > > > > > > > estadisticas del consumo y cosas de esas > > > > > > > es la ventaja de no usar un proxy del lado del cliente, no > > > > > > configuras > > > > > > > > > > nada en el cliente (y por ende, el cliente no puede modificar > > > > > > > nada).... todo lo redirecciona con DNAT a eth1 y al puerto 3128 > > > > > > > (lo que sea > > > > > > > > > > http). > > > > > > > > > > > > El 5 de octubre de 2011 09:34, Daniel A. Rodriguez < > > > > > > > > > > > > > > [email protected]> escribió: > > > > > > >> > no, porque los web proxies................ van por tu proxi > > > > > > >> > transparente > > > > > > >> > > > > > > > >> > :-D > > > > > > >> > :-D :-D (lee las palabras claves que estas poniendo en tu > > > > > > webproxi > > > > > > > > > >> > :y > > > > > > >> > > > > > > > >> > bloquea > > > > > > >> > igual). > > > > > > >> > la unica pega es con https, al ser formato encriptado squid > no > > > > > > lo > > > > > > > > > >> > revisa > > > > > > >> > > > > > > >> y > > > > > > >> > > > > > > >> > pasa directo (puerto 443 si mal no recuerdo), pero con > > > > > > >> > shorewall > > > > > > > > > > podes > > > > > > > > > > > >> > bloquear ese puerto. > > > > > > >> > el otro tema son los p2p, para eso necesitas hacer analizar > > > > > > >> > trafico > > > > > > > > > > y > > > > > > > > > > > >> > vienen > > > > > > >> > soluciones especificas (que en este momento no me acuerdo). > > > > > > >> > > > > > > > >> > pero los proxis transparentes son una excelente solucion, > solo > > > > > > >> > > > > > > >> configuras > > > > > > >> > > > > > > >> > el > > > > > > >> > servidor y todos los clientes caen si o si por tu squid ;-) > > > > > > >> > > > > > > >> y dolores de cabeza como ultrasurf? > > > > > > >> > > > > > > >> > > > > > > >> --~--~---------~--~----~------------~-------~--~----~ > > > > > > >> Escuelas Libres :: Porque la educación es mucho mejor cuando > es > > > > > > >> libre www.escuelaslibres.org.ar > > > > > > >> --- > > > > > > >> Para entrenar, cualquier programa sirve. Para educar, sólo > > > > > > Software > > > > > > > > > >> Libre. (Federico Heinz) > > > > > > >> --- > > > > > > >> _______________________________________________ > > > > > > >> Gleducar - http://www.gleducar.org.ar > > > > > > >> Para enviar mensajes: [email protected] > > > > > > >> Desuscripción: escribir un correo a [email protected] > > > > > > >> Información de la lista: > > > > > > >> http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar > > > > > > >> Para ver los mensajes anteriores: > > > > > > >> http://news.gmane.org/gmane.linux.edu.gleducar > > > > > > > > > > > > > > -- > > > > > > > --------------------------------------------------------------- > > > > > > > Valentin Basel > > > > > > > Analista en Sistemas Informaticos > > > > > > > Departamento informatico > > > > > > > Centro de Estudios Avanzados - UNC - CONICET > > > > > > > --------------------------------------------------------------- > > > > > > > http://www.sistema-icaro.blogspot.com/ > > > > > > > http://fedoraproject.org/wiki/User:Valentinbasel > > > > > > > ------------------------------------------------------------------------- > > > > > > > > > > -- > > > > > > > > > > -- > > > > > > > > > > Marcos Guglielmetti > > > > > > > > > > ▲ > > > > > :::::::::::::::::: > > > > > :::::::::::::::::: M U S I X ::::::::::::::::::::: > > > > > ▼ > > > > > > > > > > www.musix.org.ar > > > > > > > > > > www.ovejafm.com > > > > > > > > > > www.softwarelibre.org.ar > > > > > > > > > > _______________________________________________ > > > > > Para encontrarte con activistas del movimiento social del software > > > > > > libre: > > > > > > http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimient > > > > > o > > > > > > > > > > _______________________________________________ > > > > > Gleducar - http://www.gleducar.org.ar > > > > > Para enviar mensajes: [email protected] > > > > > Desuscripción: escribir un correo a [email protected] > > > > > Información de la lista: > > > > > http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar > > > > > Para ver los mensajes anteriores: > > > > > http://news.gmane.org/gmane.linux.edu.gleducar > > > > > > -- > > > > > > Marcos Guglielmetti > > > > > > ▲ > > > :::::::::::::::::: > > > :::::::::::::::::: M U S I X ::::::::::::::::::::: > > > ▼ > > > > > > www.musix.org.ar > > > > > > www.ovejafm.com > > > > > > www.softwarelibre.org.ar > > > > > > _______________________________________________ > > > Para encontrarte con activistas del movimiento social del software > libre: > > > http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento > > > > > > _______________________________________________ > > > Gleducar - http://www.gleducar.org.ar > > > Para enviar mensajes: [email protected] > > > Desuscripción: escribir un correo a [email protected] > > > Información de la lista: > > > http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar > > > Para ver los mensajes anteriores: > > > http://news.gmane.org/gmane.linux.edu.gleducar > > -- > Marcos Guglielmetti > ▲ > :::::::::::::::::: M U S I X ::::::::::::::::::::: > ▼ > www.musix.org.ar > www.ovejafm.com > www.softwarelibre.org.ar > _______________________________________________ > Para encontrarte con activistas del movimiento social del software libre: > http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento > > _______________________________________________ > Gleducar - http://www.gleducar.org.ar > Para enviar mensajes: [email protected] > Desuscripción: escribir un correo a [email protected] > Información de la lista: > http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar > Para ver los mensajes anteriores: > http://news.gmane.org/gmane.linux.edu.gleducar > -- --------------------------------------------------------------- Valentin Basel Analista en Sistemas Informaticos Departamento informatico Centro de Estudios Avanzados - UNC - CONICET --------------------------------------------------------------- http://www.sistema-icaro.blogspot.com/ http://fedoraproject.org/wiki/User:Valentinbasel --------------------------------------------------------------------------- _______________________________________________ Gleducar - http://www.gleducar.org.ar Para enviar mensajes: [email protected] Desuscripción: escribir un correo a [email protected] Información de la lista: http://gleducar.org.ar/cgi-bin/mailman/listinfo/gleducar Para ver los mensajes anteriores: http://news.gmane.org/gmane.linux.edu.gleducar
