Alguém consegue matar a charada?

De onde vem os pacotes?
Mesmo todos os micros desligados, somente os 2 servidores e o firewall ligado, nos logs aparece vários ips acessando sites sem parar. Eu bloquiei todos os acessos, menos para a rede local (0.0.0.0 deny) e 192.168.1.0 alow. Assim todos os ips de acessos difrente da rede sao bloqueados. o que é diferente da rede 192.168.1.0 é banido(denied). segue o log:


echo: web-proxy,debug,packet 1274980788.182 0 74.222.1.214 TCP_DENIED/403 1326 CONNECT 203.138.181.112:25 - NONE/- text
/html
echo: web-proxy,debug,packet 1274980788.223 1 61.160.212.4 TCP_DENIED/403 1329 GET http://uc250.com/ - NONE/- text/html
echo: web-proxy,debug,packet 1274980788.363 5 122.226.215.230 TCP_DENIED/403 1337 GET http://www.fuj88.com/ - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980788.637 100 63.147.190.194 TCP_DENIED/403 1326 CONNECT 205.188.251.31:443 - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980788.823 1 122.226.215.229 TCP_DENIED/403 1363 GET http://www.haosi888.com/class.asp
? - NONE/- text/html
[admin@Matriz] >
echo: web-proxy,debug,packet 1274980788.980 8718 192.168.1.68 TCP_MISS/200 13038 GET http://estrela.angeloni.com.br/angelo
ni_HTTP/ema/eletro110/images/top_ang_a.jpg - DIRECT/201.2.248.40 image/jpeg
echo: web-proxy,debug,packet 1274980789.053 0 64.56.64.80 TCP_DENIED/403 1322 CONNECT 222.15.69.195:25 - NONE/- text/ht
ml
echo: web-proxy,debug,packet 1274980789.056 1 202.105.176.172 TCP_DENIED/403 1343 GET http://www.zhaosf185.com - NONE/-
text/html
echo: web-proxy,debug,packet 1274980789.062 1 211.103.170.135 TCP_DENIED/403 1373 GET http://www.guangsu.cc/example_sho
w.asp? - NONE/- text/html
echo: web-proxy,debug,packet 1274980789.205 2 60.209.205.34 TCP_DENIED/403 1373 GET http://www.jimobmw.com/Class/Class.
asp? - NONE/- text/html
echo: web-proxy,debug,packet 1274980789.312 10 122.226.215.227 TCP_DENIED/403 1337 GET http://www.fuj88.com/ - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980789.347 34 63.147.190.194 TCP_DENIED/403 1326 CONNECT 205.188.251.36:443 - NONE/- te
xt/html
echo: web-proxy,debug,packet 1274980789.360 1 122.224.18.45 TCP_DENIED/403 1335 GET http://www.45520.com - NONE/- text/
html
echo: web-proxy,debug,packet 1274980789.372 0 64.56.76.181 TCP_DENIED/403 1322 CONNECT 222.15.69.195:25 - NONE/- text/h
tml
echo: web-proxy,debug,packet 1274980789.519 1 211.103.170.135 TCP_DENIED/403

Teu proxy tá aberto para a web, simples, o povo está usando ele...
Se tá dando denied, não precisa se preocupar muito, só vai aumentar o processamento...

bloquei no firewall o input pra porta do proxy e libera apenas pra rede interna, mas isso ai a principio ta negando todas as requisições.

Eu coloquei a regra 192.168.1.0 aceitar e 0.0.0.0 drop. Deste jeito, so a rede interna tem acesso a internet.
Mas o mikrotik deve analisar a requisição e perde tempo.
Aanalisei algo e cheguei a conclusao que meu ip está acicionado em span ou black lists ou algo parecido.
Por enquanto deixa assim, mas se alguém tiver alguma sugestão, será bem vinda.

tens servidor de e-mail dentro da tua rede? se tens da uma verificada nele, bloqueia a porta 25 no forward se alguem usa ela libera somente para o ip do server em especifico. sempre que possível use a porta 587 para envio de e-mail.

Nao tenho servidor de email. Nosso email é terceirizado numa empresa proverdora de internet. Dentro da nossa rede so fica os micros com o outlook configurado.
Estive analisando de madrugada, não havia nenhum deles ligados, e continuava aparecendo denied para varios sites.
Da impressão que os micros com ipvalidos usa o meu ipvalido como gateway.

com certeza estão usando teu proxy, mas é só dar um drop no input para a placa de rede externa.
iptables -A INPUT -i $interface_externa -j DROP
ai tu dropa tudo o que vier para essa maquina de fora da rede, mas não esquece de liberar teus serviços que são acessados externamente.

Dei um drop em input. Parou de navegar, mas o outlook funcionava. E aqueles acessos pararam. Entao so pode ser acesso externo. Vou esperar a noite, pq nao posso fazer os testes durante o expediente.
Deve ser exatamente, como nosso amigo Iverton sugeriu.
Vou tentar e respondo aqui.

É acesso externo com certeza. tens que dar um drop no input na interface externa e um accept na interface interna.
tudo o que vir da interface externa pro servidor drop, tudo o que vier da rede interna para o servidor accept.
pronto.

Obrigado Iverton, Você matou a charada na mosca.
Coloquei umas regras conforme voce me passou. Fui colocando e notei que os acessos sumiram, mas parava de navegar, mas o outolook funcionanva. Entao fui liberando as portas que usava. Até que cheguei num ponto onde tudo funcionava e os acessos externos sumiram.

Anexo 15334
Segue as regras(no retangulo em vermelho) que adicionei.

Beleza amigo Rossi.
fico feliz que conseguiste resolver.
se quiser podes clicar ali na estrelinha pra me agradecer.
um abraço.

Ok.
Mais um probleminha decorrente das regras:
Notei que as conexoes EXTERNAS vpn do windows xp ou mikrotik das
FILIAIS não funcionam. Mas as lt2p sim.

Tenho a contabilidade NA OUTRA CIDADE que usa uma conexão vpn do windows xp, Ela parou de funcionar.
E nas filias com Servidor Mikrotik usando uma VPN pptp. Pararam de conectar. Só alterei de pptp para lt2p, e ficou bala.

Onde tinha o servidor MKt com lt2p nao deu problema
O que pode ser? Ja liberei a porta 1723 para a vpn pptp, mas nao adiantou.
Entao disablitei todas as regras para a contabilidade funcionar. Ao meio dia vou ter que ver isso.

veja no firewall > conections qual a porta que está usando essa conexão e libere.
outra maneira é se tiver ip fixo liberar tudo para esse ip da filial.

Mais uma vez voce matou a charada, eheheh.
Fui la em conexões e vi a porta 1723 e o ip, liberei no firewall e ficou bala.
Pensei que nao acharia solução.
So correr pro abraço. Esterei te pontuando.
Valeu , Obrigado a tados.