+ Responder ao Tópico



  1. #1

    Padrão Como Resolver isso no proxy Transparente

    olha pessoal oque esta aparecendo nos access.log do squid e esta consumindo toda a conecao da internet
    sendo que a rede interne é 192.168.1.0/24
    Alguem ja pegou isso e como resolver??
    Obrigado
    89.239.131.225 TCP_MISS/200 279 CONNECT 64.12.161.185:443 - DIRECT/64.12.161.185 -
    1220658349.850 10400 90.188.136.178 TCP_MISS/200 143 CONNECT 205.188.153.98:443 - DIRECT/205.188.153.98 -
    1220658350.059 5585 89.239.131.225 TCP_MISS/200 184 CONNECT login.icq.com:443 - DIRECT/64.12.161.153 -
    1220658350.225 8411 89.239.131.225 TCP_MISS/200 184 CONNECT 205.188.179.233:443 - DIRECT/205.188.179.233 -
    1220658350.245 5229 78.155.204.124 TCP_MISS/200 143 CONNECT 205.188.153.249:443 - DIRECT/205.188.153.249 -
    1220658350.373 2604 212.135.30.163 TCP_MISS/200 185 CONNECT 205.188.179.233:443 - DIRECT/205.188.179.233 -
    1220658350.966 9481 80.101.0.52 TCP_MISS/200 206 CONNECT 205.188.179.233:443 - DIRECT/205.188.179.233 -
    1220658351.119 5926 87.116.161.61 TCP_MISS/200 142 CONNECT 64.12.161.153:443 - DIRECT/64.12.161.153 -
    1220658351.214 2565 78.29.78.95 TCP_MISS/200 186 CONNECT login.icq.com:443 - DIRECT/64.12.161.153 -
    1220658351.552 20679 89.239.131.225 TCP_MISS/200 184 CONNECT 64.12.161.153:443 - DIRECT/64.12.161.153 -
    1220658351.571 5541 78.155.204.124 TCP_MISS/200 39 CONNECT 64.12.161.153:443 - DIRECT/64.12.161.153 -
    1220658351.922 2696 81.243.247.12 TCP_MISS/200 183 CONNECT 64.12.161.153:443 - DIRECT/64.12.161.153 -
    1220658352.199 19108 61.50.171.254 TCP_CLIENT_REFRESH_MISS/200 26379 GET DIRECT/218.30.115.123 text/html
    1220658352.283 22209 69.86.187.202 TCP_MISS/200 14530 GET http://www.youtube.com/watch? - DIRECT/208.117.236.72 text/html
    1220658352.606 3061 89.239.131.225 TCP_MISS/200 184 CONNECT 64.12.200.89:443 - DIRECT/64.12.200.89 -
    1220658352.915 1771 78.136.94.162 TCP_MISS/200 494 GET http://l05.member.ird.yahoo.com/config/pwtoken_get? - DIRECT/217.146.187.239 application/octet-stream
    1220658353.094 3038 89.239.131.225 TCP_MISS/200 184 CONNECT 64.12.200.89:443 - DIRECT/64.12.200.89 -
    1220658353.157 2001 83.134.10.56 TCP_MISS/200 482 GET http://l1.login.vip.aue.yahoo.com/co...p_verify_user? - DIRECT/124.108.97.193 text/html
    1220658354.030 14467 84.60.229.221 TCP_MISS/200 252 CONNECT 205.188.153.121:443 - DIRECT/205.188.153.121 -
    1220658354.244 14624 218.155.236.170 TCP_MISS/999 4363 GET Sign in to Yahoo! - DIRECT/203.209.228.45 text/h
    Última edição por evertonfritz; 05-09-2008 às 19:29.

  2. #2
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.969
    Posts de Blog
    44

    Padrão

    amigo provavelmente vc deixou o seu squid aberto pro mundo e esta todo mundo usando seu servidor de proxy para conectar na internet.... oq voce pode fazer e configurar corretamente o seu squid limitando apenas para sua rede local via acl....

    Para voce entender oq estou falando de uma olhada no nosso wiki em nossa documentacao do squid

    Projetos/Squid-Doc - UnderLinux Wiki



  3. #3

    Padrão

    O engraçado é que sao os mesmo saite e ips
    por iptables com faço para bloquear isso no placa de rede da internet eth0??

  4. #4
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.969
    Posts de Blog
    44

    Padrão

    se voce esta usando a porta 3128 para o squid seria

    Código :
    iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    Desta forma vc vai liberar tudo que e 192.168.1.0/24 para a porta 3128
    e vai bloquear tudo diferente disso para acessar esta porta.



  5. #5

  6. #6
    Analista de Sistemas Avatar de MDdantas
    Ingresso
    Apr 2007
    Localização
    Caruaru - Pernambuco
    Posts
    423

    Padrão

    Citação Postado originalmente por evertonfritz Ver Post
    O engraçado é que sao os mesmo saite e ips
    por iptables com faço para bloquear isso no placa de rede da internet eth0??
    Everton boa noite.

    Como no nosso amigo scorpion falou, seu servidor squid está liberado para todos e estão aproveitando. O que o Scorpion disse é que você configure o squid para aceitar apenas a sua rede interna e o resto negar.

    veja as suas ACL´s. Com certeza está deste tipo:

    acl all src 0.0.0.0/0

    Mude para:

    acl all src 192.168.0.0/24

    Isso irá permitir apenas que sua rede interna tenha acesso ao seu squid. Lembrando que no final do suas linhas de ACL´s, coloque esta:

    http_access deny all

    Isto informa que se nenhuma requisição se encaixar em nenhum comando acima desta linha, simplesmente o squid, não permitirá o acesso.

    vou postar aqui também as regras para bloqueio a IP Spoofing

    iptables -N syn-flood
    iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
    iptables -A syn-flood -m limit --limit 1/s --limit-burts 4 -j RETURN
    iptables -A syn-flood -j DROP


    Espero ter ajudado.

    Atenciosamente,