Proxy Vulneravel externamente (resolvido)
|
27/05/2009, 11:06
Resposta: #1
|
|||
|
|||
Proxy Vulneravel externamente (resolvido)
Galera to precisando de uma ajuda para tentar saber e solucionar o que esta causando um problema na minha rede.
Tenho um firewall com as politicas input e forward DROP e so output como ACCEPT to rodando na rede squid 2.7 mais sarg recentemente tenho observado nos relatorios do sarg, alguns ips estranos, por exemplo: minha rede 192.168.0.xxx e nos relatorios do sarg esta aparecendo algum ips como 64.150.189.148 66.195.245.216 95.188.169.210 216.240.152.215 nao consegui entender o pq da minha rede ser 192.168.0.xxx e esses ips que nao estao na mesma rede estarem acessando, será alguma falha no firewall, sera que o meu proxy esta sendo usado por alguem que nao seja da rede interna? ----------------------------Torcida que canta e vibra---------------------------------- Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian". |
|||
27/05/2009, 14:22
Resposta: #2
|
|||
|
|||
Re: Acessos nao identificados
galera ja descobri o q esta acontecendo, é que meu proxy esta aberto.
teria como alguem me dizer como fecha-lo e abrir somente para rede local ----------------------------Torcida que canta e vibra---------------------------------- Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian". |
|||
27/05/2009, 16:18
Resposta: #3
|
|||
|
|||
Re: Acessos nao identificados
Boa tarde
Se não me engano a determinação para rede local seria no squid.conf na linha acl all src 192.168.0.0/24 |
|||
27/05/2009, 16:39
Resposta: #4
|
|||
|
|||
Re: Acessos nao identificados
ja tentei essa configuração e tbm nao deu certo
qdo executo o comando tail -200 /var/log/messages, ele me retorna os logs de alguns ip que nao pertencem a minha rede tipo: mangle_PREROUTING->IN=eth1 OUT= MAC=00:1e:90 ![]() ![]() axo que na realidade o problema esta na minha chain da tabela mangle prerouting, segue abaixo como estao todas chains: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT ja tentei DROP na tabela -t mangle -P PREROUTING, so q qdo fiz isso toda a rede ficou sem acessar a internet, sera que eu poreria por como DROP a -t mangle -P PREROUTING e em seguida sair liberando os acessos, como que eu posso fazer isso? ----------------------------Torcida que canta e vibra---------------------------------- Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian". |
|||
29/05/2009, 08:32
Resposta: #5
|
|||
|
|||
Re: Proxy Vulneravel externamente
Faça:
netstat -ntpl Veja em qual dos endereçõs o squid está escutando, isso também deve ser configurado no firewall... |
|||
30/05/2009, 20:36
Resposta: #6
|
|||
|
|||
Re: Proxy Vulneravel externamente
adiciona essa configuração no squid.conf, no final do arquivo.
#Bloqueando acessos externos http_access deny all |
|||
01/06/2009, 17:20
Resposta: #7
|
|||
|
|||
Re: Proxy Vulneravel externamente
ja esta assim tbm amigo
fis da seguinde maneira criei a acl redelocal e deixei a all da maneira como esta no final do squid fis http_access allow redelocal http_access deny all mais mesmo assim nos relatorios do sarg aparecem algums ip que nao pertencem a minha rede, inclusive tbm aparece nos log do firewall ----------------------------Torcida que canta e vibra---------------------------------- Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian". |
|||
01/06/2009, 17:46
Resposta: #8
|
|||
|
|||
Re: Proxy Vulneravel externamente
Faça o seguinte, monitore esses ips pelo tcpdump:
tcpdump -i any src host <ip> -nn |
|||
02/06/2009, 09:05
Resposta: #9
|
|||
|
|||
Re: Proxy Vulneravel externamente
![]() Segue ae um screen do relatorio do sarg o estranho é que se observamos o tempo que estes ips mantiveram conectados o que mais demorou foi 3 segundos, por isso me apareceu uma segunda hipotese, visto que o meu squid so esta permitindo conexoes da rede local e bloqueando todo o resto, e o meu firewall esta com as chain input e forward DROP, pensei quem sabe isso nao poderia ser virus na rede, existe essa possibilidade ou o firewall esta comprovadamente aberto att ----------------------------Torcida que canta e vibra---------------------------------- Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian". |
|||
03/06/2009, 08:39
Resposta: #10
|
|||
|
|||
Re: Proxy Vulneravel externamente
Seguinte, mas monitorando pelo tcpdump, que conclusão chegou? Pois é necessário monitorar para saber a origem destaas conexões...
|
|||
04/06/2009, 19:22
Resposta: #11
|
|||
|
|||
Re: Proxy Vulneravel externamente
Feche a porta de entrada do seu squid p/ acessos externos.
O movimento está parado! |
|||
09/06/2009, 09:22
Resposta: #12
|
|||
|
|||
Re: Proxy Vulneravel externamente
qual a regra eu colocaria para fechar a porta para acesso externo
att ----------------------------Torcida que canta e vibra---------------------------------- Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian". |
|||
10/06/2009, 08:30
Resposta: #13
|
|||
|
|||
Re: Proxy Vulneravel externamente
iptables -I INPUT -p tcp -- dport <porta> -d <device_externo> -j DROP
|
|||
11/06/2009, 19:08
Resposta: #14
|
|||
|
|||
Re: Proxy Vulneravel externamente
allex.p Escreveu:Feche a porta de entrada do seu squid p/ acessos externos. Aliás, feche todas e libere apenas as necessárias. O movimento está parado! |
|||
17/06/2009, 09:56
Resposta: #15
|
|||
|
|||
Re: Proxy Vulneravel externamente
so to passando ak paradizer que a regra de fechar a porta do squid funcionou perfeitamente
vlw pela força galera ----------------------------Torcida que canta e vibra---------------------------------- Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian". |
|||
« Anteriores | Seguintes »
|
Usuários visualizando este tópico: 1 Visitantes