Caríssimos, quero apenas divulgar uma regra para barrar o UltraSurf(software que burla squid e iptables por meio do uso de criptografia). Realmente o IPS - HLBR é muito simples de se trabalhar. É uma ferramenta fanstica. Bom, assim como eu sei que tem outros procurando uma solução para o UltraSurf, pois aí vai:
<rule> ip src(200.xxx.yyy.0/24, 200.xxx.yyy.0/32,xxx.0.0.0/8) udp src(any) udp content(|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|) message(UltraSurf) Barrando o UltraSurf action=action1 </rule> ip src(200.xxx.yyy.0/24, 200.xxx.yyy.0/32,xxx.0.0.0/8) rede de origem das requisições aqui eu coloquei os ips da rede interna e externa. udp src(any) verifica a origem de qualquer porta udp udp content(|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|) Verifica se na requisição UDP existe a cadei de caracteres É só isso, simples assim. Funciona até a versão 9.1 do UltraSurf
