Bloqueo del Protocolo QUIC

Desconectado joemg6

  • Administrador
  • *
  • Mensajes: 629
  • Ubicación: Hz.
    • Ver Perfil
  • Me Gusta: 94
Bloqueo del Protocolo QUIC
« : noviembre 12, 2015, 11:04:54 am »
Bloqueo del Protocolo QUIC
El protocolo QUIC fue creado por Google e implementado en algunos de sus servicios, es un protocolo basado en UDP. Con este protocolo se pretende mejorar la velocidad de navegación, pero en el caso usar servidores caché este protocolo no es soportado, por lo que procederemos a bloquearlo y obligar a usar el protocolo por convencional.

En este caso emplearemos el protocolo layer7 de Mikrotik, y agregamos las siguientes reglas, si se tiene más reglas en el firewall filter, revisar que no haya reglas que interfieran.
Código:
  1. /ip firewall layer7-protocol
  2. add name=YouTube regexp="^.*(\\.youtube\\.com|\\.googlevideo\\.com).*\$"
  3. /ip firewall filter
  4. add action=drop chain=forward comment="Bloqueo QUIC" disabled=no dst-port=80,443 layer7-protocol=YouTube protocol=udp

También configuramos el firewall del Raptor, para eso agregamos la siguientes reglas, estas tienen que estar arriba de las regla de redirección.
Código:
  1. iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable
  2. iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable
  3. iptables -A FORWARD -p tcp -m tcp --dport 80 -m state --state RELATED,ESTABLISHED -j DROP
  4. iptables -A FORWARD -p tcp -m tcp --dport 443 -m state --state RELATED,ESTABLISHED -j DROP



Luego reiniciar el firewal
RaptorCache Developer

Desconectado severino.euclides

  • Jr. Member
  • **
  • Mensajes: 99
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Bloqueo del Protocolo QUIC
« Respuesta #1 : noviembre 12, 2015, 11:23:07 am »
Una pregunta, ¿qué haría que Quico, y su papel actual !! ??

Desconectado joemg6

  • Administrador
  • *
  • Mensajes: 629
  • Ubicación: Hz.
    • Ver Perfil
  • Me Gusta: 94
Re:Bloqueo del Protocolo QUIC
« Respuesta #2 : noviembre 12, 2015, 11:35:33 am »
Una pregunta, ¿qué haría que Quico, y su papel actual !! ??
El protocolo QUIC pretende conseguir una mayor velocidad al navegar, es un protocolo basado en UDP creado por Google e implementado en algunos de sus servicios, lo malo para uso del servidor caché es que obliga a usar HTTPS, es por eso que se bloquea este protocolo con la finalidad de seguir usando HTTP en YouTube.
RaptorCache Developer

Desconectado NIGROMANTE

  • Full Member
  • ***
  • Mensajes: 146
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Bloqueo del Protocolo QUIC
« Respuesta #3 : noviembre 12, 2015, 11:52:05 am »
Bueno al menos veo que es bastante util :D y en mi caso la verdad veo que el trafico mejoro en los clientes,.

Desconectado jaikel gutierrez

  • Jr. Member
  • **
  • Mensajes: 79
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 4
Re:Bloqueo del Protocolo QUIC
« Respuesta #4 : noviembre 12, 2015, 06:54:22 pm »
amigo  joemg6 saludos. hice la edición que comentaste qui en esta sección. y me quedo así. revisala por favor en el link para ver si me quedo bien o tengo algún error.... en estos momentos trabajo con redirecion NAT en el mikotik y poseo dos rangos de ip la 192.168.1.xxx para mis clientes wifi y la 192.168.2.xxx para mi cyber...de ante mano muchas gracias.!!! :-*
https://www.dropbox.com/s/nymerfogp8ou394/1.png?dl=0

Desconectado joemg6

  • Administrador
  • *
  • Mensajes: 629
  • Ubicación: Hz.
    • Ver Perfil
  • Me Gusta: 94
Re:Bloqueo del Protocolo QUIC
« Respuesta #5 : noviembre 12, 2015, 07:35:32 pm »
amigo  joemg6 saludos. hice la edición que comentaste qui en esta sección. y me quedo así. revisala por favor en el link para ver si me quedo bien o tengo algún error.... en estos momentos trabajo con redirecion NAT en el mikotik y poseo dos rangos de ip la 192.168.1.xxx para mis clientes wifi y la 192.168.2.xxx para mi cyber...de ante mano muchas gracias.!!! :-*
https://www.dropbox.com/s/nymerfogp8ou394/1.png?dl=0
Solo quita o deshabilita las reglas de "Redirect 8080", no son necesarias y con eso estaría bien.
RaptorCache Developer

WALYN

  • Visitante
Re:Bloqueo del Protocolo QUIC
« Respuesta #6 : noviembre 13, 2015, 11:56:23 pm »
Bloqueo del Protocolo QUIC
QUIC es un protocolo basado en UDP creado por Google e implementado en algunos de sus servicios, con este protocolo se pretende mejorar la velocidad de navegación, pero para los que usamos el servidor caché QUIC obliga a usar HTTPS en esas páginas, como sabemos el servidor hace caché al contenido que pase por el puerto 80 HTTP. Es por eso que implementaremos las reglas de bloqueo a este protocolo, con la finalidad de seguir usando HTTP en YouTube.

En este caso emplearemos el protocolo layer7 de Mikrotik, y agregamos las siguientes reglas, si se tiene más reglas en el firewall filter, revisar que no haya reglas que bloqueen a estas reglas o pueden ponerlas en las reglas superiores.
Código:
  1. /ip firewall layer7-protocol
  2. add name=YouTube regexp=".*\\.(google|youtube|googlevideo)\\..*"
  3. /ip firewall filter
  4. add action=drop chain=forward comment="Bloqueo QUIC" disabled=no dst-port=80,443 layer7-protocol=YouTube protocol=udp

También configuramos el firewall del Raptor, para eso agregamos la siguientes reglas, que también tienen que estar en las reglas superiores, arriba de la regla de redirección.
Código:
  1. iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
  2. iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC

Si se edita manualmente el archivo "/etc/raptor/fw.sh" sería de la siguiente manera 
Como ej. se usó el IP 192.168.10.2 del servidor Raptor y su interface de red eth0 y el segmento de los usuarios 192.168.1.0/24.
Código:
  1. #!/bin/bash
  2. echo ";;;;;;;;;;;;;;;;;;;;;;;"
  3. echo ";     RaptorCache     ;"
  4. echo ";;;;;;;;;;;;;;;;;;;;;;;"
  5.  
  6. echo 1 > /proc/sys/net/ipv4/ip_forward
  7.  
  8. iptables -F
  9. iptables -X
  10. iptables -Z
  11. iptables -t nat -F
  12.  
  13. iptables -P INPUT ACCEPT
  14. iptables -P OUTPUT ACCEPT
  15. iptables -P FORWARD ACCEPT
  16. iptables -t nat -P PREROUTING ACCEPT
  17. iptables -t nat -P POSTROUTING ACCEPT
  18.  
  19.  
  20. iptables -A INPUT -i lo -j ACCEPT #comment#Localhost
  21.  
  22. iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #comment#Input LAN  
  23.  
  24. iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
  25. iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
  26.  
  27. # ------------------------------------| Redireccion |--------------------------------------
  28. iptables  -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #comment#Redirect 3128
  29. # -----------------------------------------------------------------------------------------



Luego reiniciar el firewal, por terminal se ingresaría el siguiente comando
Código:
  1. bash /etc/raptor/fw.sh

excelente..pero yo lo tengo el raptor en  modo gateway..como lo haria?

Desconectado joemg6

  • Administrador
  • *
  • Mensajes: 629
  • Ubicación: Hz.
    • Ver Perfil
  • Me Gusta: 94
Re:Bloqueo del Protocolo QUIC
« Respuesta #7 : noviembre 14, 2015, 12:12:49 am »
excelente..pero yo lo tengo el raptor en  modo gateway..como lo haria?
Las reglas también están para que se usen en ese modo, por eso están separadas; ingresa las siguientes reglas antes de la regla de redirección.
Código:
  1. iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
  2. iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
RaptorCache Developer

WALYN

  • Visitante
Re:Bloqueo del Protocolo QUIC
« Respuesta #8 : noviembre 14, 2015, 12:20:11 am »
Las reglas también están para que se usen en ese modo, por eso están separadas; ingresa las siguientes reglas antes de la regla de redirección.
Código:
  1. iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
  2. iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC

pero tengo que hacer algunas modificaciones como esta:
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
 
iptables -A FORWARD -p tcp -m tcp --dport 80 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC
iptables -A FORWARD -p tcp -m tcp --dport 443 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC

por ej:

Código:
  1. ########## PARAMETROS #########
  2. INT_IN=eth0 # Interface que provee internet
  3. INT_OUT=eth1 # interface que comparte internet a la Lan
  4. RANGO=192.168.60.0/24
  5. ###############################
  6. echo " Borrando las Cadenas existentes..."
  7. iptables -F
  8. iptables -t nat -F
  9. iptables -t mangle -F
  10. iptables -X
  11. iptables -t nat -X
  12. iptables -t mangle -X
  13. # Zero all packets and counters.
  14. iptables -Z
  15. iptables -t nat -Z
  16. iptables -t mangle -Z
  17. echo " Estableciendo Politica por Defecto (ACEPTAR)"
  18. iptables -P INPUT ACCEPT
  19. iptables -P OUTPUT ACCEPT
  20. iptables -P FORWARD ACCEPT
  21. echo " Redireccionamos las peticiones de www hacia Squid Proxy"
  22. echo 1 > /proc/sys/net/ipv4/ip_forward
  23. iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
  24. iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
  25.  
  26. iptables -A FORWARD -p tcp -m tcp --dport 80 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC
  27. iptables -A FORWARD -p tcp -m tcp --dport 443 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC
  28. iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
  29. iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
  30. echo " Terminando la Configuracion del Firewall."

WALYN

  • Visitante
Re:Bloqueo del Protocolo QUIC
« Respuesta #9 : noviembre 14, 2015, 09:31:31 am »
me bloqueo www.google.com

Desconectado angel

  • Full Member
  • ***
  • Mensajes: 108
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 3
Re:Bloqueo del Protocolo QUIC
« Respuesta #10 : noviembre 14, 2015, 11:21:16 am »
comentarles que al poner esto

    iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
    iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
     
    iptables -A FORWARD -p tcp -m tcp --dport 80 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC
    iptables -A FORWARD -p tcp -m tcp --dport 443 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC

me bloquea el buscador de google

por que sucede eso

mi configuracion es modo gateway

Desconectado luistec

  • Moderador
  • *
  • Mensajes: 1501
  • Ubicación: Los Olivos - Perú
    • Ver Perfil
  • Me Gusta: 50
Re:Bloqueo del Protocolo QUIC
« Respuesta #11 : noviembre 14, 2015, 11:28:31 am »
comentarles que al poner esto

    iptables -A FORWARD -i eth0 -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
    iptables -A FORWARD -i eth0 -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
     
    iptables -A FORWARD -p tcp -m tcp --dport 80 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC
    iptables -A FORWARD -p tcp -m tcp --dport 443 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC

me bloquea el buscador de google

por que sucede eso

mi configuracion es modo gateway
Deshabiliten las reglas de TCP, en gateway
Código: [Seleccionar]
iptables -A FORWARD -p tcp -m tcp --dport 80 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC
iptables -A FORWARD -p tcp -m tcp --dport 443 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC

Saludos.

WALYN

  • Visitante
Re:Bloqueo del Protocolo QUIC
« Respuesta #12 : noviembre 14, 2015, 12:59:06 pm »
Deshabiliten las reglas de TCP, en gateway
Código: [Seleccionar]
iptables -A FORWARD -p tcp -m tcp --dport 80 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC
iptables -A FORWARD -p tcp -m tcp --dport 443 -m state --state RELATED,ESTABLISHED -j DROP #comment#Block QUIC

Saludos.

yo lo tengo en modo gateway quedaría así?

########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=192.168.60.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."

Desconectado rubennoboa

  • Full Member
  • ***
  • Mensajes: 205
  • Ubicación:
  • Si Dios por nosotros, ¿quién contra nosotros?
    • Ver Perfil
  • Me Gusta: 4
Re:Bloqueo del Protocolo QUIC
« Respuesta #13 : noviembre 14, 2015, 01:01:30 pm »
y para mdo gateway como ira esas reglas????:'( :-* :-*

WALYN

  • Visitante
Re:Bloqueo del Protocolo QUIC
« Respuesta #14 : noviembre 14, 2015, 01:08:19 pm »
y para mdo gateway como ira esas reglas????:'( :-* :-*

yo la puse como esta arriba y me esta funcionando hasta ahora..

Desconectado rubennoboa

  • Full Member
  • ***
  • Mensajes: 205
  • Ubicación:
  • Si Dios por nosotros, ¿quién contra nosotros?
    • Ver Perfil
  • Me Gusta: 4
Re:Bloqueo del Protocolo QUIC
« Respuesta #15 : noviembre 14, 2015, 01:17:54 pm »
Cita
yo lo tengo en modo gateway quedaría así?

########## PARAMETROS #########
INT_IN=eth0 # Interface que provee internet
INT_OUT=eth1 # interface que comparte internet a la Lan
RANGO=192.168.60.0/24
###############################
echo " Borrando las Cadenas existentes..."
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packets and counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
echo " Estableciendo Politica por Defecto (ACEPTAR)"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo " Redireccionamos las peticiones de www hacia Squid Proxy"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -A FORWARD -i $INT_IN -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable #comment#Block QUIC
iptables -t nat -A PREROUTING -i $INT_OUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o $INT_IN -s $RANGO -j MASQUERADE
echo " Terminando la Configuracion del Firewall."


tu configuracion te funciona muy bien amigo.. ????? lo probare haber que tal .. gracias

WALYN

  • Visitante
Re:Bloqueo del Protocolo QUIC
« Respuesta #16 : noviembre 14, 2015, 01:20:59 pm »
estoy haciendo prueba y todo bien hasta ahora..no me bloquea el google hasta ahora

Desconectado Coliche

  • Newbie
  • *
  • Mensajes: 44
  • Ubicación: Los olivos - Peru
    • Ver Perfil
  • Me Gusta: 0
Re:Bloqueo del Protocolo QUIC
« Respuesta #17 : noviembre 14, 2015, 07:49:32 pm »
Este tema fue editado? Porque no estaba asi las configuraciones de los iptables....

Desconectado joemg6

  • Administrador
  • *
  • Mensajes: 629
  • Ubicación: Hz.
    • Ver Perfil
  • Me Gusta: 94
Re:Bloqueo del Protocolo QUIC
« Respuesta #18 : noviembre 15, 2015, 11:17:32 am »
Este tema fue editado? Porque no estaba asi las configuraciones de los iptables....
Se actualizaron las reglas para uniformidad con los distintos modos de implementación.
RaptorCache Developer

Desconectado pacas

  • Jr. Member
  • **
  • Mensajes: 54
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Bloqueo del Protocolo QUIC
« Respuesta #19 : noviembre 15, 2015, 11:47:12 am »
Saludos .. implemente esa regla discupe la pregunta... bueno.. despue de de apagar el servidor y prender no me inicializa me bloquea todo las paginas de http .cuando pongo manualmente esta regla : bash /etc/raptor/fw.sh...  funciona todo bien .. como puedo automatizar.. gracias espero sus repuestas...