Ola Pessoal, boa tarde.
Venho por meio desse topico alertar aos amigos do forum MK-AUTH, sobre um "programa" Chamado HotSpot Shield.
Mais pra que serve esse tal programa ???!!?!?!
Bom a resposta e bem simples, o intuito desse programa e simplismente burlar formas de bloqueio de acesso a intenet usando VPN para faze-lo..
Aqui no nosso caso MK-AUTH utilizamos a forma de bloqueio PG CORTE, quando o cliente esta cortado ele e enviado para o ADDRESS LIST , "PGCORTE", o que causa que qualquer pagina que o cliente for abrir vai cair sempre na pagina que nos configuramos como PGCORTE.. O cliente continua fazendo parte da mesma rede que os clientes liberados, o que causa o aparecimento da pagina de corte para o cliente bloqueado e simplismente o envio dele para o address list "pgcorte"..
O HotSpot Shield haje ai.. como falei desde o inicio ele e um programa que burla tal ferramenta, utilizando-se de uma VPN para mascarar a conexao daquela maquina.. Ou seja o cliente cortado vai SIM CONSEGUIR NAVEGAR.. Abaixo e sem mais delongas eu vou mostrar como e simples baixar , e utilizar o tal programa..
DOWNLOAD DO HOTSPOR SHIELD ( O DOWNLOAD FOI FEITO COM UM LOGIN LIBERADO )
*Nao coloquei o passo a passo de instalacao do Hotspot shield pois nao tem segredo ou seja nao e necessario configurar NADA no programa para utiliza-lo, sendo assim nao tem o porque colocar o passo a passo de instalacao.
LOGANDO COM UM LOGIN BLOQUEADO..
Escolhido o login do cliente que ja se encontra bloqueado, vamos testar ser a pagina de corte esta funcionando perfeitamente..
PAGINA DE CORTE. FUNCIONANDO - OK ( ATUALMENTE, O CLIENTE LOGA COM IP DA POOL COM MASCARAMENTO)
VAMOS AGORA ATIVAR O Hotspot Shield e ver se nos conseguimos navegar mesmo estando BLOQUEADO.
Apos clicar em CONNECT/ON, o navegador ira abrir, vai demorar mais ou menos 20 segundos, e ira aparecer o STATUS CONNECTED...
Agora pronto.. So navegar em paz e NAO PAGAR MENSALIDADE AO PROVEDOR DE ACESSO..
Obs: E bom lembrar que essa ferramenta nao funciona com cliente conectados via Hospot, somente funciona com clientes conectados via PPPoE..
Vale lembrar que eu postei esse topico utilizando o login do meu cliente bloqueado..
Abaixo esta um print do login trafegando normalmente..
Qual seria a solucao ???
Existe uma solucao postada pelo manager da Mikrotik para barrar o Hotspot Shield.
ip firewall mangle
add action=add-dst-to-address-list address-list=WhiteList address-list-timeout=4w2d chain=prerouting comment=WhiteList content=!127.0.0.1:895 disabled=no dst-port=80 protocol=tcp
add action=add-src-to-address-list address-list=HotSpotShieldUsers address-list-timeout=1h chain=prerouting comment=HotSpotShieldUsers content=!127.0.0.1:895 disabled=no dst-port=80 protocol=tcp
add action=add-dst-to-address-list address-list=WhiteList address-list-timeout=4w2d chain=prerouting comment=WhiteList content=!127.0.0.1:895 disabled=no dst-port=443 protocol=tcp
ip firewall filter
add action=accept chain=forward comment="" disabled=no dst-address-list=WhiteList
add action=drop chain=forward comment="\"Block HotSpot Shield\"" disabled=no src-address-list=HotSpotShieldUsers
O problema e que junto com o Hotspot Shield ele barra muitas outros servicos, um exemplo que aconteceu aqui na minha rede foi que todos os voips deixaram de funcionar e jogos online (Ragnarok, Tibia, Dungeos and Dragons, e alguns outros) , Ou seja nao tive como deixar tais regras ativadas, senao iria perder os clientes que necessitam de tal servico na minha rede..
Adianta bloquear as portas UDP para bloquear o Hotspot shield ??
Nao adianta.. Pois ele muda de porta sempre que ele nao consegue utilizar a porta padrao para manter a conexao..
Assim ele caminha pelas portas UDP e TCP a vontade.. Ou seja, via firewall e praticamente impossivel bloquea-lo..
O que voce fez para solucionar ?
Nada, so tirei a pagina de corte e os meus clientes cortados agora nao conseguem mais autenticar no servidor..
Qual seria a solucao ??
A solucao ao meu ver seria que a pagina de bloqueio via POOL sem mascaramento funcionasse, pois assim o hotspot shield de maneira nenhuma conseguiria passar do servidor Mikrotik, assim nao conseguindo manter uma conexao com o servidor do HOTSPOT SHIELD, o que impossibilitaria o mascaramento via VPN da conexao do cliente...
Esse topico nada mais e que um apelo para que a PAGINA DE CORTE com IP POOL especifica e SEM MASCARAMENTO, possa entrar em funcionamento..
Caso contrario nao existe segurança e nem garantias que o seu cliente Bloqueado nao ira navegar de GRAÇA APOS SER BLOQUEADO.
Obs: E bom lembrar que essa ferramenta nao funciona com cliente conectados via Hospot, somente funciona com clientes conectados via PPPoE..
Esse topico foi postado depois que burlei a pagina de corte do MK-AUTH com o HOTSPOT SHIELD..
Respostas
Boa tarde, venho deixar uma contribuição no tópico, tenho uma regra aqui e ta funcionando bem contra https e também contra vpn, que e o método que o hotspot shield usa vou deixa-la abaixo, vlw.
/ip firewall filter add chain=forward dst-a
ddress=ip do seu mkauth protocol=tcp src-address-list=pgcorte action=drop comment=bloq
euio-extra
ficou shol de bola quero ver hotspot shield conectar se ocliente nao esta logado kkkkkkkkkkkkkkkkkkkkk
Quanta coisa e que mão de obra!... daqui a pouco vc mesmo tá fazendo seus próprios sistemas com tantas mudanças.
Mas se deu certo, tá valendo.
coloque esse bloco de notas dentro do seu diretório hotspot
e no mk-auth em recursos marque cliente não loga ta resolvido!
errors.txt
Só um detalhe coloca no aviso atraso de pagamento ou senha errada!
porque se digitar a senha errada vai aparecer o aviso dessa forma o cliente atrasado vai saber se esta atrasado ou não
A solução que encontrei foi a seguinte marquei cliente não loga e coloquei o aviso de bloquei
Boa noite.
Sinto muito Anisio pela notificação que deu, mas tudo indica que o não bloqueio pelo seu servidor mikrotik, se dá por suas diferentes configurações.
Nesse caso minha ultima sugestão é para que reveja-as até descobrir a causa dessa liberação do HOTSPOT SHIELD para não sofrer danos maiores no futuro por erros aparentes de administração.
Mais uma vez refiz os testes, agora para usuários do pppoe e hotspot em dez maquinas entre sistemas XP WIND7 e LINUX e para todos após o bloqueio pelo MK_AUTH, foi impossível conectar por este programa até manter essa regra ativa e somente permitindo conectar ao desabilitar a regra.
Lembrando que inicialmente pensei ter sido efetivado o bloqueio pela atualização feita por Pedro, mas estava enganado até seguir desabilitando e habilitando cada regra que tenho para descobrir finalmente qual faz o milagre e para mim tá mais que comprovado que é essa regra que passei, pena não ver mais ninguém dos interessados testando já que o assunto é serio e importante para todos.
Bom, para mim o problema tá resolvido desde o inicio e só segui no teste para dá alguma contribuição para os demais.
Anisio, desejo que vc encontre a causa para evitar tais formas de conexões pelos já bloqueados... imagine se os maus pagadores de sua rede descobrem essa falha?
Por ultimo me coloco a disposição para repassar-lhe até mesmo um backup do meu mikrotik para comprovar que este programa não conecta por quem for bloqueado.
Até...
Anisio Machado disse:
É não tem jeito a regra aqui não funciona mesmo!
ok vou fazer testes ai te falo gto!
Acabei de refazer o teste para 10 bloqueios na rede e funcionou usando essa regra, só permitindo ele fazer a vpn e conectando quando a desativo.
Como vc trabalha com sub-redes talvez este seje o motivo de não funcionar para seu bloqueio, tente fazer esse limite por ip do cliente.
Se funcionar, avise que te passo como fazer a regras para todos de uma só vez sem ser um por um.
add action=drop chain=forward comment=\"LIMITE CONEXES ( UDP ) POR CLIENTE UNICO" connection-state=new disabled=no \dst-port=!53,67 limit=30,40 protocol=udp src-address=10.2.5.175
Lebre-se de alterar o ip dessa regra para o que fará o teste.
Aguardo...
-
1
-
2
-
3
-
4
-
5
de 10 Próximo