martes, 8 de diciembre de 2009

[HowTo] Saltar el proxy

[HowTo] Saltar el proxy

Al escribir www.XXX.com en la barra de dirección, el navegador toma el puerto 80 como por defecto.
si tiene una pagina web con un puerto específico lo tendrás que especificarlo: ejm.
www.xxx.com:81

Un proxy transparente normalmente tiene esta regla: (con iptables)

iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT

$INTERNET = interfaz de red que va hacia internet
$SQUID_PORT = puerto del servidor proxy
Al traducir sería algo como: todo los paquetes que vaya a la interfaz $INTERNET con puerto 80 lo redirecciona al puerto de $SQUID_PORT
entonces todos lo que vayas a enviar desde el navegador (sin nigún especificación del puerto especial) pasará por el proxy, por lo tanto, filtro!

De testing



JUMPING

Visto lo anterior, podemos evitar el filtro saliendo por un puerto diferente al 80, en este caso con un proxy externo, y el proxy externo es quien manda peticion al puerto 80 del servior web y nos devuelve los resultados.
De testing

El uso de ultrasurf es sumamente igual, sólo que en vez conectar directamente con el proxy externo, primero se conecta con el interno y atravéz de él se establece una conexión segura con el proxy externo, tal como indica Monzisez Blog [La chica mala, XD]
De testing

He experimentado otro tipo de filtro, el que lo creó utilizó un servidor DNS, que consiste en resolver una IP inexistente a las páginas indeseada.
Y por supuesto,ésta técnica es muchísimo menos eficiente, además de hay que conocer todas páginas que quieras filtrar, hay que ponerlo manualmente.
y se salta con sumamente facilidad:
-apuntar la IP de la página web que quieras visitar desde un PC que no tiene filtro, y después en Pc con filtro agregar la IP directamente a la barra de dirección. y Done! Jumped! [¿?]
-Otra manera es cambiando la configuración del red, indicarle un DNS público. [En mi caso no la pude hacer hasta que conseguí la password del administrador, porque no teníamos permiso para ni siquiera para cambiar la hora del sistema...]
-o tambien con un proy externo, porque es el proxy quien resuelve la el dominio y enviar peticion al servidor web, y despues nos devuelve los resultados.
De testing



====
Creo que lo siguiente pordría ser un buen filtrado, :D, (Con iptable - squid)

#aceptamos los puertos conocidos, tanto TCP como UDP
iptables -A FORWARD -s 192.168.10.0/24 -i $INTRANET -p tcp --dport 1:1024 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i $INTRANET -p udp --dport 1:1024 -j ACCEPT
# Traducción: Aceptar todos los que venga de la interfaz $INTRANET (LAN) de rango IP 192.168.10.0 con máscara 255.255.255.0 cuyo puerto sea entre 1 y 1024.

# o tambien podemos sólo especificar determinado puerto, pero hay que recordar que hay algunos puertos que son impresindible como por ejemplo 53 de UDP (DNS).
# ejemplo para un solo puerto, 3389, control remoto.
iptables -A FORWARD -s 192.168.10.0/24 -i $INTRANET -p tcp --dport 3389 -j ACCEPT


# Y denegamos el resto, para evitar que algunos "listillos" [sabes a quién me refiero, XD] salte el filtro.
iptables -A FORWARD -s 192.168.10.0/24 -i $INTRANET -j DROP
# Traducción: Denegar/tirar/votar todos los paquetes que venga de la interfaz $INTRANET (LAN) de rango IP 192.168.10.0 con máscara 255.255.255.0

iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT


!! OJO!! EYE !! [XD]
"La orden SÍ IMPORTA"
primero las exepciones y después los generales.



REFERENCIA
http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall-html/

Saludos, Good Luck !!

4 comentarios:

Monzi dijo...
Este comentario ha sido eliminado por el autor.
Monzi dijo...

Está muy bien el tuto, sip, muy bueno :-) Da gusto volver a leer cosas en tu blog :-) Se echaba de menos :-)

keil dijo...

Mi web es: http://miblogbydefault.blogspot.com/
No esta mal el post/articulo/tuto este.

Sui dijo...

Gracias, XD

Publicar un comentario

 
Powered by Blogger