I hate this title 🙁 …sometimes…
Liburan panjang kemarin membuat kang Dadang agak terlambat untuk berbagi kepada saya langkah apa yang sudah dilakuin buat ngatasin ‘masalah Ultrasurf’. Ya… ya… ultrasurf memang hebat! ada yang benci, ada juga yang cinta. Kalo saya sih terus terang termasuk yang cinta :-p
Btw, dicerita sebelumnya kang Dadang sedang dilemma buat mengatasi masalah filterisasi Ultrasurf tadi. Ada empat opsi sempat membayangi isi kepalanya:
- Pertamax: block seluruh port 443 (SSL)
- Keduax: block IP server-server Ultrasurf.
- Ketigax: block via Antivirus Client yang terinstall pada masing-masing komputer.
- Keempat: Konfigurasi ulang Squid n Firewall. Semua akses internet klien diblok kecuali lewat Proxy Server.
*perhatian* Kalo uraian dibawah ini terlalu panjang, skip aja disini!
Pilihan nomer dua jelas nggak bisa dieksekusi. Sudah dicoba memblok IP server-server yang digunakan Ultrasurf hasilnya tetep saja melempem. Ultrasurf masih tetep saja bisa membuat koneksi ke server yang lain. List IP yang sudah coba diblok dilampirin dibagian bawah tulisan ini.
Pilihan ketiga dulu sudah sempat dilirik, tapi agak males implementasinya. Apalagi nanti nggak bisa berkuasa penuh ke komputer klien. Walaupun nantinya klien tetep saja nggak bisa mengotak-atik komputernya sendiri, rule yang dijalankan nggak terpusat di satu titik. Kurang ideal ah.
Pilihan keempat sebenarnya konfigurasi paling ideal. Karena konfigurasi Squid transparent yang sekarang ini hanya berkuasa penuh pada protokol http, buat protokol yang lain Squid tetep tutup mata donk. Selain itu semua aturan bisa ditanamkan di Squid Proxy. Tapi kang Dadang ternyata masih belum mau menerapkan pilihan ini. Karena menurutnya konfigurasi transparent sekarang lebih cool. Kenapa? Karena eh karena… si klien tetep dingin-dingin aja nggak perlu setting proxy. Alasan lain, jika perlu mengubah route koneksi internet pun lebih mudah dikerjakan.
So, pilihannya adalahhh… *akhirnya balik lagi deh ke pilihan awal*
Blocking port 443 memang bukanlah pilihan yang bijaksana, karena itu protokol standar dan sangat umum digunakan. Tapi memang bagi kang Dadang lebih mudah membuka situs-situs yang menggunakan port SSL daripada menutup server-server Ultrasurf.
Akhirnya sampai juga ke point utamanya.
Sebenernya ini bukan tips yang cukup cerdas. Karena cuman membahas access-list biasa di router Cisco. Idenya sederhana: buat list website SSL yang diperbolehkan untuk diakses, kemudian blok seluruh port 443. Kejam tapi bodoh! 🙁
Biasanya yang menggunakan port SSL adalah layanan webmail, messenger, Bank, situs-situs yang ada hubungannya sama duit. Salah satu alasan dipilih rule block port 443 buat mengkebiri Ultrasurf adalah statistik akses ke situs ber-SSL masih mudah dibaca. Tidak banyak situs-situs aneh yang diakses, dengan konsekwensi beberapa situs yang ‘nggak umum’ akan terblokir, misalnya money changer.
Oke, kita mulai saja daftar service SSL yang umum digunakan
Yahoo (YM)
List server yahoo yang umumnya digunakan untuk login YM:
68.142.233.176
68.142.233.118
66.163.169.186
98.137.53.34
68.180.195.216
69.147.112.160
209.191.92.114
216.252.124.207
Sedangkan range network lengkapnya:
NetRange: 69.147.64.0 – 69.147.127.255
CIDR: 69.147.64.0/18
NetName: A-YAHOO-US5
NetRange: 68.142.192.0 – 68.142.255.255
CIDR: 68.142.192.0/18
NetName: INKTOMI-BLK-4
NetRange: 66.163.160.0 – 66.163.191.255
CIDR: 66.163.160.0/19
NetName: A-YAHOO-US2
NetRange: 98.136.0.0 – 98.139.255.255
CIDR: 98.136.0.0/14
NetName: A-YAHOO-US9
NetRange: 68.180.128.0 – 68.180.255.255
CIDR: 68.180.128.0/17
NetName: A-YAHOO-US6
NetRange: 69.147.64.0 – 69.147.127.255
CIDR: 69.147.64.0/18
NetName: A-YAHOO-US5
NetRange: 209.191.64.0 – 209.191.127.255
CIDR: 209.191.64.0/18
NetName: A-YAHOO-US3
NetRange: 216.252.96.0 – 216.252.127.255
CIDR: 216.252.96.0/19
NetName: A-YAHOO-US4
Google (Webmail)
List server Google yang umumnya digunakan untuk login GMail:
74.125.153.18
209.85.171.115
64.233.189.99
64.233.189.100
64.233.189.104
64.233.189.101
Sedangkan range network lengkapnya:
NetRange: 64.233.160.0 – 64.233.191.255
CIDR: 64.233.160.0/19
NetName: GOOGLE
NetRange: 74.125.0.0 – 74.125.255.255
CIDR: 74.125.0.0/16
NetName: GOOGLE
NetRange: 209.85.128.0 – 209.85.255.255
CIDR: 209.85.128.0/17
NetName: GOOGLE
List server Facebook yang umumnya digunakan untuk login:
69.63.180.174
69.63.176.138
Range network Facebook:
NetRange: 69.63.176.0 – 69.63.191.255
CIDR: 69.63.176.0/20
NetName: TFBNET2
Canonical (shipt.ubuntu.com — ini termasuk umum diakses juga yah :p)
91.189.90.19
inetnum: 91.189.88.0 – 91.189.95.255
netname: CANONICAL-CORE
descr: Canonical Ltd
Mozilla/ Firefox (addons)
63.245.209.91
NetRange: 63.245.208.0 – 63.245.223.255
CIDR: 63.245.208.0/20
NetName: MOZNET-1
Lainnya adalah website Bank, dan aplikasi-aplikasi internal lain yang akan terkena dampak dari rule ini. Tapi kayaknya nggak perlu disebutin kan…!
Ngomong soal access-list nggak akan nyambung kalo nggak lihat konfigurasi jaringannya. Nah! katakan aja konfigurasinya seperti berikut:
Dari konfigurasi diatas:
- IP LAN 10.128.10.0/24
- Subinterface router yang terhubung ke LAN 10.128.10.0/24 sebut saja F0/1.10 dengan IP 10.128.10.1
- IP Squid Proxy 172.18.10.3 transparent.
- Access-list akan dipasang diinterface router F0/1.10 IP ADDRESS 10.128.10.1, yaitu interface yang langsung terhubung ke LAN. Tujuannya server yang ada diluar network lokal tidak terpengaruh access-list. Contohnya Proxy Squid yang memiliki IP 172.18.10.3.
- Setiap PC klien mengakses website, trafik dibelokkan oleh router dan diarahkan ke Squid Proxy transparent 172.18.10.3.
- Route koneksi klien ke internet adalah sebagai berikut: PC klien (10.128.10/24) — (10.128.10.1) ROUTER (172.18.10.2) — (172.18.10.3) SQUID PROXY (172.18.10.3) — (172.18.10.1) FIREWALL — INTERNET
- Gambar konfigurasi diatas bukanlah kondisi sebenarnya, dan cuman contoh kasus aja. Sebenarnya IP Address digambar tersebut kurang diperlukan untuk penjelasan access-list dibawah ini, karena saya malas bikin gambar lagi.
Rule Access-list sederhana yang perlu dibuat seperti berikut:
access-list 117 remark ultrasurf
access-list 117 permit tcp any any neq 443
access-list 117 permit udp any any
access-list 117 permit ip any host 68.142.233.176
access-list 117 permit ip any host 69.147.112.160
access-list 117 permit ip any host 66.163.169.186
access-list 117 permit ip any host 98.137.53.34
access-list 117 permit ip any host 68.180.195.216
access-list 117 permit ip any host 74.125.153.18
access-list 117 permit ip any host 209.85.171.115
access-list 117 permit ip any host 64.233.189.99
access-list 117 permit ip any host 69.63.180.174
access-list 117 permit ip any host 69.63.176.138
access-list 117 permit ip any host 91.189.90.19
access-list 117 permit ip any host 65.66.185.61
access-list 117 permit ip any host 219.83.126.9
access-list 117 permit ip any host 63.245.209.91
access-list 117 deny tcp any any eq 443 log
access-list 117 permit ip any any
Untuk jaga-jaga kang Dadang juga sudah nyiapin access-list dengan wildcard mask. Karena dari pengalamannya, saat login YM sering terhubung ke server dengan IP berbeda-beda.
access-list 117 remark ultrasurf
access-list 117 permit tcp any any neq 443
access-list 117 permit udp any any
access-list 117 permit ip any 69.147.64.0 0.0.63.255
access-list 117 permit ip any 68.142.192.0 0.0.63.255
access-list 117 permit ip any 66.163.160.0 0.0.31.255
access-list 117 permit ip any 98.136.0.0 0.3.255.255
access-list 117 permit ip any 68.180.128.0 0.0.127.255
access-list 117 permit ip any 69.147.64.0 0.0.63.255
access-list 117 permit ip any 64.233.160.0 0.0.31.255
access-list 117 permit ip any 74.125.0.0 0.0.255.255
access-list 117 permit ip any 209.85.128.0 0.0.127.255
access-list 117 permit ip any 69.63.176.0 0.0.15.255
access-list 117 permit ip any 91.189.88.0 0.0.7.255
access-list 117 permit ip any 65.64.0.0 0.7.255.255
access-list 117 permit ip any 219.83.126.0 0.0.0.255
access-list 117 permit ip any 63.245.208.0 0.0.15.255
access-list 117 deny tcp any any eq 443 log
access-list 117 permit ip any any
Jangan lupa, konfigurasikan access-list di interface F0/1.10 inbound
int f0/1.10
ip access-group 117 in
Selesai kan… Uraian yang panjang, tapi akhir yang ‘singkat’ mirip film-film indonesia 😀
Oya, ditambahkan parameter “log” pada access-list deny port 443, untuk memudahkan monitor koneksi SSL yang terblok lewat perintah “show log“. Jika ditemukan IP yang seharusnya boleh diakses tinggal tambahin saja rule access-list-nya 🙁 Tentunya akan cukup banyak service yang ikut terganggu.
Berikut list IP server yang sempat tertangkap kamera saat ultrasurf dijalankan pertama kali
Order | IP Address | Country | Network Name |
---|---|---|---|
1 | 195.39.222.145 | Germany | ASKNET-AS |
2 | 165.12.241.35 | Australia | DEEWR |
3 | 210.242.23.5 | Taiwan | FU-BANG-SYNTHESI-TP-TW |
4 | 114.47.116.156 | Taiwan | HINET-NET |
5 | 118.168.1.188 | Taiwan | HINET-NET |
6 | 122.120.37.86 | Taiwan | HINET-NET |
7 | 218.166.99.221 | Taiwan | HINET-NET |
8 | 118.161.210.63 | Taiwan | HINET-NET |
9 | 59.115.198.99 | Taiwan | HINET-NET |
10 | 125.230.35.18 | Taiwan | HINET-NET |
11 | 218.169.180.75 | Taiwan | HINET-NET |
12 | 220.141.118.201 | Taiwan | HINET-NET |
13 | 114.47.120.116 | Taiwan | HINET-NET |
14 | 118.160.233.90 | Taiwan | HINET-NET |
15 | 114.42.11.146 | Taiwan | HINET-NET |
16 | 65.49.2.122 | USA – North Carolina | HURRICANE-CE1805-926 |
17 | 65.49.2.123 | USA – North Carolina | HURRICANE-CE1805-926 |
18 | 65.49.2.118 | USA – North Carolina | HURRICANE-CE1805-926 |
19 | 128.231.210.98 | USA – Maryland | NIHNET-1 |
20 | 195.33.153.5 | Netherlands | NL-ATTIDCAMSTERDAM-NET |
21 | 64.235.47.65 | USA – Washington | OCEANREEFS-APLUSHOSTING-CUSTOMER |
22 | 207.105.75.196 | USA – Texas | PBI-CUSTNET-2760 |
23 | 38.144.194.3 | USA – District Of
Columbia |
PSINETA |
24 | 61.144.235.3 | China | SHENZHEN-M-GT-STOCK-LTD |
25 | 65.49.2.117 | USA – North Carolina | HURRICANE-CE1805-926 |
26 | 122.124.162.126 | Taiwan | HINET-NET |
27 | 114.41.234.49 | Taiwan | HINET-NET |
28 | 123.204.75.141 | Taiwan | SEEDNET-NET |
29 | 218.160.188.87 | Taiwan | HINET-NET |
30 | 218.169.0.236 | Taiwan | HINET-NET |
31 | 118.170.66.213 | Taiwan | HINET-NET |
Wah, rak mudeng aku…
wah, wah orang sehebat ini komen di blog saya *menjura* 😀
(ada temennya Pak Dhe Mars, ga mudeng-nya 😀 )
@Pradna
Don’t judge a book by its cover… :>
lam kenal ya, thanks
Kang eta list IP jadinya kudu di blok ya ??
oh ya, udah coba blok md5 aplikasinya belon ?
@kevin andika
belon, hehehe tks clue-nya
mantap bener… aduh aduh…. bobol ah
yah …
kalo yg pake router2an kek ipcop gitu gmn donk gan …:o
krenz mas..
nice posting ya 😀
You share interesting things here. I think that your blog can go viral easily,
but you must give it initial boost and i know how to do it,
just search in google for – mundillo traffic increase
go viral
Thank you for generating my individual students have access for your website post….
Thiss blog was… how do you say it? Relevant!! Finally I’ve found
something which helped me. Thank you!
Oh my goodness! Incredible article dude! Many thanks, However I am going through difficulties with your RSS.
I don’t know the reason why I can’t join it. Is there anyone
else getting thee same RSS issues? Anyone who kmows the solution will you kindly respond?
Thanks!!