+ Responder ao Tópico



  1. #1
    Daniels
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Ae galera... salve!

    Seguinte, tenho um server proxy (squid 2.4.STABLE1) provendo conexao a alguns clientes. Tenho um link embratel 512Kb. Esses clientes tao ligados ao server através de um Hubs/switch da encore. Entretanto, acho q de switch, esse hub soh tem o nm. Acho q n possui diferenciação de portas.

    O problema eh o seguinte, alguns clientes com o SO microsoft, como o win XP, sem atualização service pack 2, se contaminam com algum virus, ou sao explorados, fazendo com que a maq faça varias conexoes para varios ips na porta 139. Isso, alem de gerar um monte de end. ips incompletos na minha tabela arp, por tentar conexao com varios ips inexistentes da minha rede, pesa a rede, fazendo com que fique lenta.

    Para tentar conter isso, fiz um bloqueio no firewall para qualquer conexao para a porta 139 na placa de rede interna, da seguinte maneira:
    ipchains -A input -i eth0 -p tcp --dport 139 -j DENY
    ipchains -A input -i eth0 -p udp --dport 139 -j DENY


    Após feito isso, as conexoes para a porta 139 sao barradas, mas o trafego de upload do cliente q esta com problema continua, continuando a lentidao na rede.

    Blz, assim o problema nao foi resolvido. Entao, tentei o bloqueio do cliente, para qualquer conexao na plca interna da seguinte maneira:
    ipchains -A input -i eth0 -s ip_do_cliente -j DENY

    Assim, as conexoes desse cliente foram negadas. Entretanto, essa maq continua tentando conexao na rede. Ficando a tx de upload como estava antes de bloquera. E a rede ainda lenta.

    Alguem poderia me ajudar? O que devo fazer pra meu serv e minha rede não ser prejudicada por maqs contaminadas por virus que fazem varias conexoes para portas com 139, 135, 445, etc.

    Flw

  2. #2

    Padrão Re: Rede afetada por conexoes para portas 139

    ipchains ???



  3. #3

    Padrão Re: Rede afetada por conexoes para portas 139

    Amigo,

    Tive o mesmo problema aqui na minha cidade esses dias atrás, os pings na minha rede wireless chegavam a 7000ms.

    Faz assim usa o iptraf e acha quem são os ips que estão causando essa quantidade de disparos tcp/upd, dai você vai até o cliente e implementa um firewall nele, porque eu entendo da seguinte forma, se você bloqueia apenas no seu provedor o tráfego continua em sua rede pois ele usou a sua rede para chegar até o seu servidor.

    Acho que você deveria bloquear no seu servidor também obvio, mas para resolver de vez seu problema, te aconselho a ir no cliente e fazer isso, coloque um zone alarm lá prá ele ou venda prá ele um servidor linux para conter esse tipo de problema.

    Prá minha sorte os 3 clientes que deram problema aqui prá mim, tinham um roteador linux neles, dai foi moleza só bloqueie as portas nesses roteadores.

    Tá dado o conselho.

    T+

    Rodrigo.


    Citação Postado originalmente por Daniels
    Ae galera... salve!

    Seguinte, tenho um server proxy (squid 2.4.STABLE1) provendo conexao a alguns clientes. Tenho um link embratel 512Kb. Esses clientes tao ligados ao server através de um Hubs/switch da encore. Entretanto, acho q de switch, esse hub soh tem o nm. Acho q n possui diferenciação de portas.

    O problema eh o seguinte, alguns clientes com o SO microsoft, como o win XP, sem atualização service pack 2, se contaminam com algum virus, ou sao explorados, fazendo com que a maq faça varias conexoes para varios ips na porta 139. Isso, alem de gerar um monte de end. ips incompletos na minha tabela arp, por tentar conexao com varios ips inexistentes da minha rede, pesa a rede, fazendo com que fique lenta.

    Para tentar conter isso, fiz um bloqueio no firewall para qualquer conexao para a porta 139 na placa de rede interna, da seguinte maneira:
    ipchains -A input -i eth0 -p tcp --dport 139 -j DENY
    ipchains -A input -i eth0 -p udp --dport 139 -j DENY


    Após feito isso, as conexoes para a porta 139 sao barradas, mas o trafego de upload do cliente q esta com problema continua, continuando a lentidao na rede.

    Blz, assim o problema nao foi resolvido. Entao, tentei o bloqueio do cliente, para qualquer conexao na plca interna da seguinte maneira:
    ipchains -A input -i eth0 -s ip_do_cliente -j DENY

    Assim, as conexoes desse cliente foram negadas. Entretanto, essa maq continua tentando conexao na rede. Ficando a tx de upload como estava antes de bloquera. E a rede ainda lenta.

    Alguem poderia me ajudar? O que devo fazer pra meu serv e minha rede não ser prejudicada por maqs contaminadas por virus que fazem varias conexoes para portas com 139, 135, 445, etc.

    Flw

  4. #4
    Daniels
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Porr velho. Valeu, mas aqui eh diferente. Os clientes sao mtos, e são pequenas empresas, muitas vezes de uma maq somente. Dai, convencer eles a colocarem qq coisa la eh foda.

    Será q eu colocando um switch inteligente eu resolveria? Dai nele eu programaria algo do tipo p barrar acesso a essas portas... mas eu tinha q arrumar outra maneira, pq um desses custa mto caro =/

    Mas valeu.



  5. #5
    maverick_cba
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Amigo, você faz limitação de banda? Pois ao meu ver se você vende para seu cliente uma conexão de 300k por exemplo, você deve ser capaz de fornecer a ele essa exata velocidade, portanto se o vírus vem daquele cliente o QoS irá limitar a conexão dele a velocidade de 300k. Daí o problema vai ser do cliente se a internet dele ficar lenta por causa de virus e não vai afetar a conexão dos outros.

  6. #6
    felco
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Cara mas isso é problema do seu cliente! A menos que voce de manutencao na rede dele, que ele te paga pra isso, voce nao tem que mexer em nada la dentro! Alias voce tem que bloquear o trafego dele que esta saindo pra porta 139 e avisar no maximo e dizer que ele esta consumindo link atoa com virus, mas para por ai!



  7. #7
    Daniels
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Velho... n tenho limitação de banda não, pq a conexao eh compartilhada. Dai, se eu limitar a banda, vai ficar mto baixa =/

  8. #8
    Daniels
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Citação Postado originalmente por felco
    Cara mas isso é problema do seu cliente! A menos que voce de manutencao na rede dele, que ele te paga pra isso, voce nao tem que mexer em nada la dentro! Alias voce tem que bloquear o trafego dele que esta saindo pra porta 139 e avisar no maximo e dizer que ele esta consumindo link atoa com virus, mas para por ai!
    Concordo plenamente com vc, brother. O problema é que ta afetando minha rede. E eu bloqueei o trafego dele para a porta 139 e qnd identifico prob no cliente q afete minha rede, bloqueio a maq dele pra qq conexao. Mas o problema eh q mesmo bloqueado, a maq fica gerando trafego na rede. Sei la, tentando conexao, acho. Esse que eh o meu problema.



  9. #9
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    como é a distribuição do link, via cabo de rede ? wireless ?

    O ideal era vc mandar ele ativar o firewall do windows, já que sao mtos clientes.
    Minha dica é: acessem http://www.firewallleaktester.com/wwdc.htm e baixem este programinha, funciona perfeito. No site tem informações detalhadas.

  10. #10
    felco
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Citação Postado originalmente por Daniels
    Citação Postado originalmente por felco
    Cara mas isso é problema do seu cliente! A menos que voce de manutencao na rede dele, que ele te paga pra isso, voce nao tem que mexer em nada la dentro! Alias voce tem que bloquear o trafego dele que esta saindo pra porta 139 e avisar no maximo e dizer que ele esta consumindo link atoa com virus, mas para por ai!
    Concordo plenamente com vc, brother. O problema é que ta afetando minha rede. E eu bloqueei o trafego dele para a porta 139 e qnd identifico prob no cliente q afete minha rede, bloqueio a maq dele pra qq conexao. Mas o problema eh q mesmo bloqueado, a maq fica gerando trafego na rede. Sei la, tentando conexao, acho. Esse que eh o meu problema.
    Voce bloqueo no FORWARD? Nao tem como vc usar iptables ao invez de ipchains?



  11. #11
    Daniels
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Citação Postado originalmente por felco
    Voce bloqueo no FORWARD? Nao tem como vc usar iptables ao invez de ipchains?
    Não Felco. A unica regar que tenho de forward eh:
    ipchains -A forward -j MASQ

    Sera que eu bloqueando em forward eu conseguia o que quero? E como seria esse bloqueio?
    ipchains -A forward -i pl_interna -s ip_cliente -j DENY

    Seria assim?

    porr... num rola de usar iptables... pelo menos nao agora. Tenho varios servers, e dai tenho que projetar essa migração pra kernel 2.6. Porr... mas se vc puder me ajudar em iptables, eu dou um jeito de descobrir como fazem ipchains, se tiver como, eh claro.

    A distribuição da rede eh em cabo ethernet com hubs.

    Flw

  12. #12
    Daniels
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Felco... fiz uma regra para forward:

    ipchains -A forward -i pl_interna -s ip_cliente -j DENY

    ... e nada adiantou.

    Velho, o que eu não entendo eh o seguinte, se eu to bloqueando no meu firewall a entrada de pacotes com destinação a porta 139 para a placa interna, me aparece no log que os pacotes estao sendo bloqueados, verifico com o tcpdump q a maq do cliente esta fazendo conexoes somente para a porta 139, e o trafego de upload do cliente no meu server continua da mesma forma, entre 30 e 40kb.

    O que me confunde mais ainda, eh como que esse trafego eh refletido na pl externa, e consequentemente, na entrada do meu router :roll:

    Q onda.....



  13. #13
    felco
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Cara não sei se é assim mesmo as regras no ipchains... faz tanto tempo:

    ipchains -A forward -p TCP --dport 139 -j REJECT
    ipchains -A forward -p TCP --sport 139 -j REJECT
    ipchains -A forward -p UDP --dport 139 -j REJECT
    ipchains -A forward -p UDP --sport 139 -j REJECT

    No iptables ficaria assim:

    iptables -A FORWARD -p tcp --dport 139 -j DROP
    iptables -A FORWARD -p tcp --sport 139 -j DROP
    iptables -A FORWARD -p udp --dport 139 -j DROP
    iptables -A FORWARD -p udp --sport 139 -j DROP

    Se voce bloquear so no INPUT voce so livra o Firewall... mas bloqueando no Forward vc evita que o firewall processe essas requisicoes...
    Mas é inevitavel, o trafego que sobe do seu cliente ainda vai continuar... mas isso deve resolver seu consumo de banda
    O ideal e que voce DROP esses pacotes, porque ai voce nao precisa manda resposta nenhuma pra maquina da onde vem... quando a conexão e TCP sempre tem resposta...

  14. #14
    maverick_cba
    Visitante

    Padrão Rede afetada por conexoes para portas 139

    Citação Postado originalmente por Daniels
    Velho... n tenho limitação de banda não, pq a conexao eh compartilhada. Dai, se eu limitar a banda, vai ficar mto baixa =/
    Mas amigo, quem disse que irá ficar lento? Supondo que você tenha um link de 600k para ser dividido entre 6 clientes, se você cria regras que limitem a conexão de cada um a 100k, por exemplo, o cliente seu que está com vírus só iria usar os 100k, ou seja, ele estaria consumindo o que lhe é de direito e o resto da conexão (500k) ficaria para os outros clientes.

    O que você tem que analizar é que não interessa o quanto de tráfego o seu cliente irá gerar desde que esteja usando somente o limite estabelecido. Agora se você tá querendo usar um link de 600k para 30 clientes, daí num tem salvação mesmo. Não vai ser um só que vai pesar mais vai ser todos.