+ Responder ao Tópico



  1. #1

    Padrão Estranhos IPS no log do Squid

    Aeee alguem pode me dizer pq apareceram esse ip's q nao constam na rota da minha rede aqui.


    #pico /var/squid/logs/acess.log
    #1123701515.466 8 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123701515.680 7 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123701515.868 8 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123702380.670 8 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123702380.863 8 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123702381.134 12 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123704124.787 8 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123704125.068 0 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123704125.379 10 200.97.188.117 TCP_DENIED/403 1352 CONNECT 67.18.232.154:25 - NONE/- text/html
    1123705504.408 5 61.141.185.251 TCP_DENIED/403 1352 CONNECT 68.142.226.33:80 - NONE/- text/html
    1123705508.540 1313 61.141.185.251 TCP_MISS/200 11383 GET http://www.yahoo.com/ - DIRECT/216.109.117.106 text/html
    1123755715.608 3 219.134.232.252 TCP_DENIED/403 1370 CONNECT smtp.mail.yahoo.com.cn:25 - NONE/- text/html
    1123755738.587 0 219.133.247.127 TCP_DENIED/403 1356 CONNECT ms94.url.com.tw:25 - NONE/- text/html
    1123755868.051 10 219.134.73.88 TCP_DENIED/403 1356 CONNECT ms94.url.com.tw:25 - NONE/- text/html
    1123755912.897 3 219.134.232.17 TCP_DENIED/403 1364 CONNECT smtp.mail.yahoo.com:25 - NONE/- text/html
    1123755958.617 2 219.134.31.97 TCP_DENIED/403 1352 CONNECT cml.hinet.net:25 - NONE/- text/html
    1123764418.602 68 219.133.247.127 TCP_DENIED/403 1356 CONNECT ms94.url.com.tw:25 - NONE/- text/html
    1123764607.524 0 219.134.73.88 TCP_DENIED/403 1356 CONNECT ms94.url.com.tw:25 - NONE/- text/html
    1123764649.903 9 219.134.232.252 TCP_DENIED/403 1370 CONNECT smtp.mail.yahoo.com.cn:25 - NONE/- text/html
    1123769042.576 5 218.17.75.210 TCP_DENIED/403 1364 CONNECT smtp.mail.yahoo.com:25 - NONE/- text/html


    Aparecem esses ips negando serviço só q esses ips nao sao da minha rede.

    Alguem ae Help-me

  2. #2
    sambaloco40
    Visitante

    Padrão ora, estão tentando te roubar!!

    Amigo, estão tentando roubar acesso pelo seu proxy. Sabe esse end com final cn ai? São da China, onde a internet é controlada pelo governo. Ai eles tentam sair por qualquer lado! As linhas que tem :25 são tentativar de uso do seu servidor como spammer! Ainda bem que estão sendo bloqueados!

  3. #3

    Padrão Estranhos IPS no log do Squid

    Colega.. isso é pq vc tem a porta do squid aberta para todo o mundo, entao esses spammers estao tentando se connectar pra enviar spam pelo seu servidor.. isso é facil de resolver

    iptables -A INPUT -p tcp -i ethX (placa ligada á Internet) --dport 3128 -j DROP

    e tá feito.. n vai ter mais problemas
    Um abraço.

  4. #4

    Padrão Estranhos IPS no log do Squid

    Citação Postado originalmente por The-shadow
    Colega.. isso é pq vc tem a porta do squid aberta para todo o mundo, entao esses spammers estao tentando se connectar pra enviar spam pelo seu servidor.. isso é facil de resolver

    iptables -A INPUT -p tcp -i ethX (placa ligada á Internet) --dport 3128 -j DROP

    e tá feito.. n vai ter mais problemas
    Um abraço.
    Como fica esta regra so p/ minha rede?

  5. #5

    Padrão Estranhos IPS no log do Squid

    Ola

    Uma solução mais prátia ainda é mudar a linha no seu squid.conf para:


    http_port 192.168.1.1:3128
    icp_port 0

    onde 192.168.1.1 é o IP do servidor que ta rodando o squid...

    t+

  6. #6
    whinston
    Visitante

    Padrão 2 regras

    1) coloca 1 regra no firewall pra nao aceitar conexao na porta do proxy que não seja da sua LAN
    2) coloca 1 ACL no proxy pra fz a mesma coisa, só aceitar conexão vinda dos Ips da LAN

  7. #7

    Padrão Re: 2 regras

    Citação Postado originalmente por whinston
    1) coloca 1 regra no firewall pra nao aceitar conexao na porta do proxy que não seja da sua LAN
    2) coloca 1 ACL no proxy pra fz a mesma coisa, só aceitar conexão vinda dos Ips da LAN
    Complementando, a regra no firewall seria a seguinte:

    supondo que a sua rede seja 192.168.1.0

    iptables -t nat -A PREROUTING -s ! 192.168.1.0/24 -j REJECT (ou DROP)
    iptables -A FORWARD -s ! 192.168.1.0/24 -j REJECT
    iptables -A INPUT -s ! 192.168.1.0/24 -j REJECT

    Talvez eu esteja sendo um pouco redundante (mas uma linha a mais não custa nada).

    Teu firewal não aceitará nenhuma conexão mais com máquinas de fora da sua rede.

    Mas se lembre que é importante liberar algumas portas, como por exemplo DNS (53), eu particularmente defino somente a ip's específicos.

    Para definir as portas você deve usar

    -p tcp (ou udp) --dport 53
    e para a volta da requisição
    -p tcp (ou udp) --sport 53

    não esqueça que na volta você inverte o -s e o -d.

    Assim verifique os seus serviços que necessitam de portas abertas, abras mas especifique qual ip determinado terá acesso a estas portas.

    Para mais informações

    http://focalinux.cipsga.org.br/guia/...w-iptables.htm

    []'s

  8. #8
    wrochal
    Visitante

    Padrão Estranhos IPS no log do Squid

    Caro,

    No caso nem precisa colocar regras de iptables, basta deixar a regra all bloqueada e a porta do squid apenas para rede internet.

    Porta do squid

    # http_port IP_DO_PROXY:PORTA_PROXY

    http_port 192.168.0.1:3128

    acl all src 0.0.0.0/0.0.0.0
    acl rede src 192.168.0.0/24
    http_access allow rede
    http_access deny all

    Bastaria isso.

    falou,

  9. #9

    Padrão Estranhos IPS no log do Squid

    Olá, também passei por isso. Meu squid também bloqueava o acesso, mas o relatório do sarg era puro 'lixo', por causa desses ips.

    Fiz um mini tutorial esses tempos, pra bloquear isso. E o pessoal ainda contribuiu com algumas dicas legais.
    Dá uma olhada:
    Bloqueando o uso do squid por spammers
    https://under-linux.org/noticia5361.html

    []