Filtrado de tráfico de firewall que bloquea algunos servicios necesarios.

Estudio en una universidad donde usan Cyberrom para filtrar el tráfico de Internet. Uso Open Vpn para conectarme a mi servidor administrado por una empresa de alojamiento web. El servidor VPN escucha en un puerto 40000+. Puedo conectarme a Open VPN desde la red universitaria. Puedo trabajar en la CLI de Linux sin ningún problema. Pero si uso rsync o scp para transferir un archivo hacia arriba o hacia abajo, la conexión vpn abierta se cae. Luego, durante aproximadamente 15 minutos, mi cliente no puede establecer una conexión con el servidor Open Vpn. Entonces, para detectar qué tipo de sistema de filtrado se usa en el servidor de seguridad de la universidad, hice que mi servidor Open VPN se ejecutara en el puerto 443. Luego apareció el mismo problema. Si ejecuto un comando de shell en el servidor de alojamiento que imprime continuamente la salida en el shell, también se cae la conexión VPN.

Intenté hacer ping al flood con este comando. sudo ping -i 0 -n -s 4088 somewanhost.com. El ping comienza, luego de algunas respuestas, el ping se detiene repentinamente.

El acceso a la web funciona bien. Incluso puedo acceder a páginas web, también puedo descargar archivos grandes a través de http o https. Esto me hizo pensar si solo tcp no se filtra. Así que usé hping3 (una herramienta de ping tcp): sudo hping3 somewanhost.com -S -A -F -V -p 80 -i u10000. Aquí también el ping se detiene después de algún tiempo. Y no pude acceder a las páginas web desde el navegador.

Incluso traté de clientes P2P. Cuando intenté descargar una distribución de Linux en Utorrent, después de habilitar el cifrado y usar un puerto superior, se produce un error de conexión. La transmisión funciona bien, si el cifrado está habilitado (pero se tarda mucho tiempo en detectar pares).

Si Open Vpn funciona, entonces puedo acceder al proxy de calamar instalado en mi servidor web y puedo navegar sin ningún problema.

La universidad no hace bloqueo de dominio o bloqueo de ip.

Tengo curiosidad por saber qué tipo de sistema de filtrado se utiliza. Más que eso, quiero que Open Vpn funcione, para poder ejecutar mi pequeño sitio web alojado en un servidor Webhosts.

firewall traffic-filtering nixnotwin
fuente

Respuestas:

Creo que es casi imposible que puedan detectar lo que ocurre dentro del túnel a nivel de protocolo.

Por lo tanto, la explicación más probable es que se están activando en función de la cantidad de datos que pasan, en lugar del protocolo específico. Por lo que ha descrito, casi siempre se desencadena por algo que parece no interactivo.

Apuesto a que si usaste squid sobre openvpn, luego intentaste descargar algo, si llegaba a un cierto nivel de transferencia de datos, se caería. Esto no es demasiado complejo, se puede configurar una QoS básica (calidad de servicio) para decir "si una dirección IP transfiere más de x cantidad de datos durante el período y para cualquier puerto no estándar, entonces bloquee durante 15 minutos".

Paul
fuente

Puedo descargar un archivo grande desde un sitio habilitado para https. Pero, cuando me conecto a mi servidor VPN a través del puerto 443, la conexión se interrumpe.

nixnotwin

Openvpn sobre 443 se ve muy diferente a https. ¿Se puede descargar un archivo grande a través de squid sobre Openvpn? (No importa en qué puerto se está conectando si esta teoría es correcta)

Paul

Sí, no puedo descargar un archivo grande a través de squid sobre openvpn. Como puedo acceder a sitios web (http y https) y hacer descargas http, ¿cuál sería la mejor manera de acceder a mi servidor?

nixnotwin

Bueno, su problema no parece estar accediendo a él, pero ¿está haciendo algún tipo de actividad que cause una transferencia de datos sostenida?

Paul

Por defecto mi openvpn se estaba ejecutando en udp. Lo cambié a tcp y luego el firewall no interrumpió la conexión. Incluso ejecutarlo sobre TCP en un puerto más alto también funcionó. Por lo tanto, si el cortafuegos detecta cualquier tráfico de udp, la conexión se interrumpe. Así que el problema está resuelto.

nixnotwin