+ Responder ao Tópico



  1. #1

    Padrão Alguém consegue matar a charada?

    De onde vem os pacotes?
    Mesmo todos os micros desligados, somente os 2 servidores e o firewall ligado, nos logs aparece vários ips acessando sites sem parar. Eu bloquiei todos os acessos, menos para a rede local (0.0.0.0 deny) e 192.168.1.0 alow. Assim todos os ips de acessos difrente da rede sao bloqueados. o que é diferente da rede 192.168.1.0 é banido(denied). segue o log:


    echo: web-proxy,debug,packet 1274980788.182 0 74.222.1.214 TCP_DENIED/403 1326 CONNECT 203.138.181.112:25 - NONE/- text
    /html
    echo: web-proxy,debug,packet 1274980788.223 1 61.160.212.4 TCP_DENIED/403 1329 GET http://uc250.com/ - NONE/- text/html
    echo: web-proxy,debug,packet 1274980788.363 5 122.226.215.230 TCP_DENIED/403 1337 GET http://www.fuj88.com/ - NONE/- te
    xt/html
    echo: web-proxy,debug,packet 1274980788.637 100 63.147.190.194 TCP_DENIED/403 1326 CONNECT 205.188.251.31:443 - NONE/- te
    xt/html
    echo: web-proxy,debug,packet 1274980788.823 1 122.226.215.229 TCP_DENIED/403 1363 GET http://www.haosi888.com/class.asp
    ? - NONE/- text/html
    [admin@Matriz] >
    echo: web-proxy,debug,packet 1274980788.980 8718 192.168.1.68 TCP_MISS/200 13038 GET http://estrela.angeloni.com.br/angelo
    ni_HTTP/ema/eletro110/images/top_ang_a.jpg - DIRECT/201.2.248.40 image/jpeg
    echo: web-proxy,debug,packet 1274980789.053 0 64.56.64.80 TCP_DENIED/403 1322 CONNECT 222.15.69.195:25 - NONE/- text/ht
    ml
    echo: web-proxy,debug,packet 1274980789.056 1 202.105.176.172 TCP_DENIED/403 1343 GET http://www.zhaosf185.com - NONE/-
    text/html
    echo: web-proxy,debug,packet 1274980789.062 1 211.103.170.135 TCP_DENIED/403 1373 GET http://www.guangsu.cc/example_sho
    w.asp? - NONE/- text/html
    echo: web-proxy,debug,packet 1274980789.205 2 60.209.205.34 TCP_DENIED/403 1373 GET http://www.jimobmw.com/Class/Class.
    asp? - NONE/- text/html
    echo: web-proxy,debug,packet 1274980789.312 10 122.226.215.227 TCP_DENIED/403 1337 GET http://www.fuj88.com/ - NONE/- te
    xt/html
    echo: web-proxy,debug,packet 1274980789.347 34 63.147.190.194 TCP_DENIED/403 1326 CONNECT 205.188.251.36:443 - NONE/- te
    xt/html
    echo: web-proxy,debug,packet 1274980789.360 1 122.224.18.45 TCP_DENIED/403 1335 GET http://www.45520.com - NONE/- text/
    html
    echo: web-proxy,debug,packet 1274980789.372 0 64.56.76.181 TCP_DENIED/403 1322 CONNECT 222.15.69.195:25 - NONE/- text/h
    tml
    echo: web-proxy,debug,packet 1274980789.519 1 211.103.170.135 TCP_DENIED/403

  2. #2
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.980
    Posts de Blog
    5

    Padrão Re: Alguém consegue matar a charada?

    Teu proxy tá aberto para a web, simples, o povo está usando ele...
    Se tá dando denied, não precisa se preocupar muito, só vai aumentar o processamento...

  3. #3

    Padrão Re: Alguém consegue matar a charada?

    bloquei no firewall o input pra porta do proxy e libera apenas pra rede interna, mas isso ai a principio ta negando todas as requisições.

  4. #4

    Padrão Re: Alguém consegue matar a charada?

    Eu coloquei a regra 192.168.1.0 aceitar e 0.0.0.0 drop. Deste jeito, so a rede interna tem acesso a internet.
    Mas o mikrotik deve analisar a requisição e perde tempo.
    Aanalisei algo e cheguei a conclusao que meu ip está acicionado em span ou black lists ou algo parecido.
    Por enquanto deixa assim, mas se alguém tiver alguma sugestão, será bem vinda.

  5. #5

    Padrão Re: Alguém consegue matar a charada?

    tens servidor de e-mail dentro da tua rede? se tens da uma verificada nele, bloqueia a porta 25 no forward se alguem usa ela libera somente para o ip do server em especifico. sempre que possível use a porta 587 para envio de e-mail.

  6. #6

    Padrão Re: Alguém consegue matar a charada?

    Nao tenho servidor de email. Nosso email é terceirizado numa empresa proverdora de internet. Dentro da nossa rede so fica os micros com o outlook configurado.
    Estive analisando de madrugada, não havia nenhum deles ligados, e continuava aparecendo denied para varios sites.
    Da impressão que os micros com ipvalidos usa o meu ipvalido como gateway.

  7. #7

    Padrão Re: Alguém consegue matar a charada?

    com certeza estão usando teu proxy, mas é só dar um drop no input para a placa de rede externa.
    iptables -A INPUT -i $interface_externa -j DROP
    ai tu dropa tudo o que vier para essa maquina de fora da rede, mas não esquece de liberar teus serviços que são acessados externamente.

  8. #8

    Padrão Re: Alguém consegue matar a charada?

    Dei um drop em input. Parou de navegar, mas o outlook funcionava. E aqueles acessos pararam. Entao so pode ser acesso externo. Vou esperar a noite, pq nao posso fazer os testes durante o expediente.
    Deve ser exatamente, como nosso amigo Iverton sugeriu.
    Vou tentar e respondo aqui.

  9. #9

    Padrão Re: Alguém consegue matar a charada?

    É acesso externo com certeza. tens que dar um drop no input na interface externa e um accept na interface interna.
    tudo o que vir da interface externa pro servidor drop, tudo o que vier da rede interna para o servidor accept.
    pronto.

  10. #10

    Padrão Re: Alguém consegue matar a charada?

    Obrigado Iverton, Você matou a charada na mosca.
    Coloquei umas regras conforme voce me passou. Fui colocando e notei que os acessos sumiram, mas parava de navegar, mas o outolook funcionanva. Entao fui liberando as portas que usava. Até que cheguei num ponto onde tudo funcionava e os acessos externos sumiram.

  11. #11

    Padrão Re: Alguém consegue matar a charada?

    Clique na imagem para uma versão maior

Nome:	         drop.jpg
Visualizações:	205
Tamanho: 	174,3 KB
ID:      	15334
    Segue as regras(no retangulo em vermelho) que adicionei.

  12. #12

    Padrão Re: Alguém consegue matar a charada?

    Beleza amigo Rossi.
    fico feliz que conseguiste resolver.
    se quiser podes clicar ali na estrelinha pra me agradecer.
    um abraço.

  13. #13

    Padrão Re: Alguém consegue matar a charada?

    Ok.
    Mais um probleminha decorrente das regras:
    Notei que as conexoes EXTERNAS vpn do windows xp ou mikrotik das
    FILIAIS não funcionam. Mas as lt2p sim.

    Tenho a contabilidade NA OUTRA CIDADE que usa uma conexão vpn do windows xp, Ela parou de funcionar.
    E nas filias com Servidor Mikrotik usando uma VPN pptp. Pararam de conectar. Só alterei de pptp para lt2p, e ficou bala.

    Onde tinha o servidor MKt com lt2p nao deu problema
    O que pode ser? Ja liberei a porta 1723 para a vpn pptp, mas nao adiantou.
    Entao disablitei todas as regras para a contabilidade funcionar. Ao meio dia vou ter que ver isso.

  14. #14

    Padrão Re: Alguém consegue matar a charada?

    veja no firewall > conections qual a porta que está usando essa conexão e libere.
    outra maneira é se tiver ip fixo liberar tudo para esse ip da filial.

  15. #15

    Padrão Re: Alguém consegue matar a charada?

    Mais uma vez voce matou a charada, eheheh.
    Fui la em conexões e vi a porta 1723 e o ip, liberei no firewall e ficou bala.
    Pensei que nao acharia solução.
    So correr pro abraço. Esterei te pontuando.
    Valeu , Obrigado a tados.