Como es de conocimiento ultrasurf utiliza el puerto 443 para poder navegar a cualquier sitio denegado por el proxy transparente, la solucion que he implementado es crear el servicio https con numero de puerto 443 y bloquear este servicio con el firewall en Reglas de filtrado para las redes internas. (algo similar cuando cerramos el acceso a
https://www.facebook.com)
Decisión: Denegar
Origen: Objeto a bloquear
Destino: Cualquiera
Servicio: https
Ahora bien, haciendo esto se cierra el acceso a todas aquellas paginas seguras como bancos, hotmail, gmail y las muchas que existen, para resolver esto he creado un objeto "Permitidoshttps" con el rango de direcciones IP de hotmail, gmail, yahoo y otras paginas a las que deseamos dar acceso. (Para este procedimiento utilice
http://whois.arin.net/ui) Finalmente he creado otra regla en el firewall permitiendo el acceso a estos sitios:
Decisión: Aceptar
Origen: Objeto o direccion ip
Destino: permitidoshttps
Servicio: https
De esta forma se esta dando acceso a las paginas seguras en el objeto Permitidoshttps y el ultrasurf esta bloqueado.
Finalmente tengo que agregar que lo bueno de Zentyal es que puede cerrar el servicio https solo a cietos objetos o direcciones ip y no a toda la subred interna, dejando asi a los otros objetos acceso al servicio https. En lo personal lo utilizo en un centro de educacion y el servicio https lo he bloqueado solo para pcs que utilizan los estudiantes, docentes y administrativos no utilizan ultrasurf.