Alguém consegue matar a charada?
De onde vem os pacotes?
Mesmo todos os micros desligados, somente os 2 servidores e o firewall ligado, nos logs aparece vários ips acessando sites sem parar. Eu bloquiei todos os acessos, menos para a rede local (0.0.0.0 deny) e 192.168.1.0 alow. Assim todos os ips de acessos difrente da rede sao bloqueados. o que é diferente da rede 192.168.1.0 é banido(denied). segue o log:
echo: web-proxy,debug,packet 1274980788.182 0 74.222.1.214 TCP_DENIED/403 1326 CONNECT 203.138.181.112:25 - NONE/- text
/html
echo: web-proxy,debug,packet 1274980788.223 1 61.160.212.4 TCP_DENIED/403 1329 GET http://uc250.com/ - NONE/- text/html
echo: web-proxy,debug,packet 1274980788.363 5 122.226.215.230 TCP_DENIED/403 1337 GET http://www.fuj88.com/ - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980788.637 100 63.147.190.194 TCP_DENIED/403 1326 CONNECT 205.188.251.31:443 - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980788.823 1 122.226.215.229 TCP_DENIED/403 1363 GET http://www.haosi888.com/class.asp
? - NONE/- text/html
[admin@Matriz] >
echo: web-proxy,debug,packet 1274980788.980 8718 192.168.1.68 TCP_MISS/200 13038 GET http://estrela.angeloni.com.br/angelo
ni_HTTP/ema/eletro110/images/top_ang_a.jpg - DIRECT/201.2.248.40 image/jpeg
echo: web-proxy,debug,packet 1274980789.053 0 64.56.64.80 TCP_DENIED/403 1322 CONNECT 222.15.69.195:25 - NONE/- text/ht
ml
echo: web-proxy,debug,packet 1274980789.056 1 202.105.176.172 TCP_DENIED/403 1343 GET http://www.zhaosf185.com - NONE/-
text/html
echo: web-proxy,debug,packet 1274980789.062 1 211.103.170.135 TCP_DENIED/403 1373 GET http://www.guangsu.cc/example_sho
w.asp? - NONE/- text/html
echo: web-proxy,debug,packet 1274980789.205 2 60.209.205.34 TCP_DENIED/403 1373 GET http://www.jimobmw.com/Class/Class.
asp? - NONE/- text/html
echo: web-proxy,debug,packet 1274980789.312 10 122.226.215.227 TCP_DENIED/403 1337 GET http://www.fuj88.com/ - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980789.347 34 63.147.190.194 TCP_DENIED/403 1326 CONNECT 205.188.251.36:443 - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980789.360 1 122.224.18.45 TCP_DENIED/403 1335 GET http://www.45520.com - NONE/- text/
html
echo: web-proxy,debug,packet 1274980789.372 0 64.56.76.181 TCP_DENIED/403 1322 CONNECT 222.15.69.195:25 - NONE/- text/h
tml
echo: web-proxy,debug,packet 1274980789.519 1 211.103.170.135 TCP_DENIED/403
Re: Alguém consegue matar a charada?
Teu proxy tá aberto para a web, simples, o povo está usando ele...
Se tá dando denied, não precisa se preocupar muito, só vai aumentar o processamento...
Re: Alguém consegue matar a charada?
bloquei no firewall o input pra porta do proxy e libera apenas pra rede interna, mas isso ai a principio ta negando todas as requisições.
Re: Alguém consegue matar a charada?
Eu coloquei a regra 192.168.1.0 aceitar e 0.0.0.0 drop. Deste jeito, so a rede interna tem acesso a internet.
Mas o mikrotik deve analisar a requisição e perde tempo.
Aanalisei algo e cheguei a conclusao que meu ip está acicionado em span ou black lists ou algo parecido.
Por enquanto deixa assim, mas se alguém tiver alguma sugestão, será bem vinda.
Re: Alguém consegue matar a charada?
tens servidor de e-mail dentro da tua rede? se tens da uma verificada nele, bloqueia a porta 25 no forward se alguem usa ela libera somente para o ip do server em especifico. sempre que possível use a porta 587 para envio de e-mail.
Re: Alguém consegue matar a charada?
Nao tenho servidor de email. Nosso email é terceirizado numa empresa proverdora de internet. Dentro da nossa rede so fica os micros com o outlook configurado.
Estive analisando de madrugada, não havia nenhum deles ligados, e continuava aparecendo denied para varios sites.
Da impressão que os micros com ipvalidos usa o meu ipvalido como gateway.
Re: Alguém consegue matar a charada?
com certeza estão usando teu proxy, mas é só dar um drop no input para a placa de rede externa.
iptables -A INPUT -i $interface_externa -j DROP
ai tu dropa tudo o que vier para essa maquina de fora da rede, mas não esquece de liberar teus serviços que são acessados externamente.
Re: Alguém consegue matar a charada?
Dei um drop em input. Parou de navegar, mas o outlook funcionava. E aqueles acessos pararam. Entao so pode ser acesso externo. Vou esperar a noite, pq nao posso fazer os testes durante o expediente.
Deve ser exatamente, como nosso amigo Iverton sugeriu.
Vou tentar e respondo aqui.
Re: Alguém consegue matar a charada?
É acesso externo com certeza. tens que dar um drop no input na interface externa e um accept na interface interna.
tudo o que vir da interface externa pro servidor drop, tudo o que vier da rede interna para o servidor accept.
pronto.
Re: Alguém consegue matar a charada?
Obrigado Iverton, Você matou a charada na mosca.
Coloquei umas regras conforme voce me passou. Fui colocando e notei que os acessos sumiram, mas parava de navegar, mas o outolook funcionanva. Entao fui liberando as portas que usava. Até que cheguei num ponto onde tudo funcionava e os acessos externos sumiram.
1 Anexo(s)
Re: Alguém consegue matar a charada?
Anexo 15334
Segue as regras(no retangulo em vermelho) que adicionei.
Re: Alguém consegue matar a charada?
Beleza amigo Rossi.
fico feliz que conseguiste resolver.
se quiser podes clicar ali na estrelinha pra me agradecer.
um abraço.
Re: Alguém consegue matar a charada?
Ok.
Mais um probleminha decorrente das regras:
Notei que as conexoes EXTERNAS vpn do windows xp ou mikrotik das
FILIAIS não funcionam. Mas as lt2p sim.
Tenho a contabilidade NA OUTRA CIDADE que usa uma conexão vpn do windows xp, Ela parou de funcionar.
E nas filias com Servidor Mikrotik usando uma VPN pptp. Pararam de conectar. Só alterei de pptp para lt2p, e ficou bala.
Onde tinha o servidor MKt com lt2p nao deu problema
O que pode ser? Ja liberei a porta 1723 para a vpn pptp, mas nao adiantou.
Entao disablitei todas as regras para a contabilidade funcionar. Ao meio dia vou ter que ver isso.
Re: Alguém consegue matar a charada?
veja no firewall > conections qual a porta que está usando essa conexão e libere.
outra maneira é se tiver ip fixo liberar tudo para esse ip da filial.
Re: Alguém consegue matar a charada?
Mais uma vez voce matou a charada, eheheh.
Fui la em conexões e vi a porta 1723 e o ip, liberei no firewall e ficou bala.
Pensei que nao acharia solução.
So correr pro abraço. Esterei te pontuando.
Valeu , Obrigado a tados.