Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Daniels
    Ae galera... salve!

    Seguinte, tenho um server proxy (squid 2.4.STABLE1) provendo conexao a alguns clientes. Tenho um link embratel 512Kb. Esses clientes tao ligados ao server através de um Hubs/switch da encore. Entretanto, acho q de switch, esse hub soh tem o nm. Acho q n possui diferenciação de portas.

    O problema eh o seguinte, alguns clientes com o SO microsoft, como o win XP, sem atualização service pack 2, se contaminam com algum virus, ou sao explorados, fazendo com que a maq faça varias conexoes para varios ips na porta 139. Isso, alem de gerar um monte de end. ips incompletos na minha tabela arp, por tentar conexao com varios ips inexistentes da minha rede, pesa a rede, fazendo com que fique lenta.

    Para tentar conter isso, fiz um bloqueio no firewall para qualquer conexao para a porta 139 na placa de rede interna, da seguinte maneira:
    ipchains -A input -i eth0 -p tcp --dport 139 -j DENY
    ipchains -A input -i eth0 -p udp --dport 139 -j DENY


    Após feito isso, as conexoes para a porta 139 sao barradas, mas o trafego de upload do cliente q esta com problema continua, continuando a lentidao na rede.

    Blz, assim o problema nao foi resolvido. Entao, tentei o bloqueio do cliente, para qualquer conexao na plca interna da seguinte maneira:
    ipchains -A input -i eth0 -s ip_do_cliente -j DENY

    Assim, as conexoes desse cliente foram negadas. Entretanto, essa maq continua tentando conexao na rede. Ficando a tx de upload como estava antes de bloquera. E a rede ainda lenta.

    Alguem poderia me ajudar? O que devo fazer pra meu serv e minha rede não ser prejudicada por maqs contaminadas por virus que fazem varias conexoes para portas com 139, 135, 445, etc.

    Flw

  2. ipchains ???



  3. Amigo,

    Tive o mesmo problema aqui na minha cidade esses dias atrás, os pings na minha rede wireless chegavam a 7000ms.

    Faz assim usa o iptraf e acha quem são os ips que estão causando essa quantidade de disparos tcp/upd, dai você vai até o cliente e implementa um firewall nele, porque eu entendo da seguinte forma, se você bloqueia apenas no seu provedor o tráfego continua em sua rede pois ele usou a sua rede para chegar até o seu servidor.

    Acho que você deveria bloquear no seu servidor também obvio, mas para resolver de vez seu problema, te aconselho a ir no cliente e fazer isso, coloque um zone alarm lá prá ele ou venda prá ele um servidor linux para conter esse tipo de problema.

    Prá minha sorte os 3 clientes que deram problema aqui prá mim, tinham um roteador linux neles, dai foi moleza só bloqueie as portas nesses roteadores.

    Tá dado o conselho.

    T+

    Rodrigo.


    Citação Postado originalmente por Daniels
    Ae galera... salve!

    Seguinte, tenho um server proxy (squid 2.4.STABLE1) provendo conexao a alguns clientes. Tenho um link embratel 512Kb. Esses clientes tao ligados ao server através de um Hubs/switch da encore. Entretanto, acho q de switch, esse hub soh tem o nm. Acho q n possui diferenciação de portas.

    O problema eh o seguinte, alguns clientes com o SO microsoft, como o win XP, sem atualização service pack 2, se contaminam com algum virus, ou sao explorados, fazendo com que a maq faça varias conexoes para varios ips na porta 139. Isso, alem de gerar um monte de end. ips incompletos na minha tabela arp, por tentar conexao com varios ips inexistentes da minha rede, pesa a rede, fazendo com que fique lenta.

    Para tentar conter isso, fiz um bloqueio no firewall para qualquer conexao para a porta 139 na placa de rede interna, da seguinte maneira:
    ipchains -A input -i eth0 -p tcp --dport 139 -j DENY
    ipchains -A input -i eth0 -p udp --dport 139 -j DENY


    Após feito isso, as conexoes para a porta 139 sao barradas, mas o trafego de upload do cliente q esta com problema continua, continuando a lentidao na rede.

    Blz, assim o problema nao foi resolvido. Entao, tentei o bloqueio do cliente, para qualquer conexao na plca interna da seguinte maneira:
    ipchains -A input -i eth0 -s ip_do_cliente -j DENY

    Assim, as conexoes desse cliente foram negadas. Entretanto, essa maq continua tentando conexao na rede. Ficando a tx de upload como estava antes de bloquera. E a rede ainda lenta.

    Alguem poderia me ajudar? O que devo fazer pra meu serv e minha rede não ser prejudicada por maqs contaminadas por virus que fazem varias conexoes para portas com 139, 135, 445, etc.

    Flw

  4. #4
    Daniels
    Porr velho. Valeu, mas aqui eh diferente. Os clientes sao mtos, e são pequenas empresas, muitas vezes de uma maq somente. Dai, convencer eles a colocarem qq coisa la eh foda.

    Será q eu colocando um switch inteligente eu resolveria? Dai nele eu programaria algo do tipo p barrar acesso a essas portas... mas eu tinha q arrumar outra maneira, pq um desses custa mto caro =/

    Mas valeu.



  5. #5
    maverick_cba
    Amigo, você faz limitação de banda? Pois ao meu ver se você vende para seu cliente uma conexão de 300k por exemplo, você deve ser capaz de fornecer a ele essa exata velocidade, portanto se o vírus vem daquele cliente o QoS irá limitar a conexão dele a velocidade de 300k. Daí o problema vai ser do cliente se a internet dele ficar lenta por causa de virus e não vai afetar a conexão dos outros.






Tópicos Similares

  1. Respostas: 1
    Último Post: 12-07-2015, 18:44
  2. Rede Wireless e por cabo para hotel
    Por hostsm no fórum Redes
    Respostas: 1
    Último Post: 03-11-2009, 23:19
  3. Lista de Portas usada por virus para Bloquear
    Por adelsonbbg no fórum Servidores de Rede
    Respostas: 4
    Último Post: 21-07-2006, 09:00
  4. Regra firewall para portas 137, 138 e 139
    Por xandemartini no fórum Redes
    Respostas: 14
    Último Post: 07-06-2006, 21:16
  5. Bloqueando Conexões de Portas Específicas
    Por Hawthorn no fórum Servidores de Rede
    Respostas: 8
    Último Post: 22-11-2002, 10:32

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L