Modo de Listagem | Modo Linear

dalveson · 27/05/2009, 11:06

Galera to precisando de uma ajuda para tentar saber e solucionar o que esta causando um problema na minha rede.
Tenho um firewall com as politicas input e forward DROP e so output como ACCEPT
to rodando na rede squid 2.7 mais sarg
recentemente tenho observado nos relatorios do sarg, alguns ips estranos, por exemplo:
minha rede 192.168.0.xxx
e nos relatorios do sarg esta aparecendo algum ips como
64.150.189.148
66.195.245.216
95.188.169.210
216.240.152.215

nao consegui entender o pq da minha rede ser 192.168.0.xxx e esses ips que nao estao na mesma rede estarem acessando, será alguma falha no firewall, sera que o meu proxy esta sendo usado por alguem que nao seja da rede interna?

dalveson · 27/05/2009, 14:22

galera ja descobri o q esta acontecendo, é que meu proxy esta aberto.
teria como alguem me dizer como fecha-lo e abrir somente para rede local

jcbenitesc · 27/05/2009, 16:18

Boa tarde
Se não me engano a determinação para rede local seria no squid.conf na linha
acl all src 192.168.0.0/24

dalveson · 27/05/2009, 16:39

ja tentei essa configuração e tbm nao deu certo
qdo executo o comando tail -200 /var/log/messages, ele me retorna os logs de alguns ip que nao pertencem a minha rede
tipo:
mangle_PREROUTING->IN=eth1 OUT= MAC=00:1e:90 Sorrisão

8

b:52:00:11:5c:9d:0d:e2:08:00 SRC=200.255.255.70 DST=IP_DO_SERVIDOR LEN=179 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=UDP SPT=53 DPT=52271 LEN=159

axo que na realidade o problema esta na minha chain da tabela mangle prerouting, segue abaixo como estao todas chains:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

ja tentei DROP na tabela -t mangle -P PREROUTING, so q qdo fiz isso toda a rede ficou sem acessar a internet, sera que eu poreria por como DROP a -t mangle -P PREROUTING e em seguida sair liberando os acessos, como que eu posso fazer isso?

spikey · 29/05/2009, 08:32

Faça:

netstat -ntpl

Veja em qual dos endereçõs o squid está escutando, isso também deve ser configurado no firewall...

nino · 30/05/2009, 20:36

adiciona essa configuração no squid.conf, no final do arquivo.

#Bloqueando acessos externos

http_access deny all

dalveson · 01/06/2009, 17:20

ja esta assim tbm amigo

fis da seguinde maneira criei a acl redelocal e deixei a all da maneira como esta
no final do squid fis
http_access allow redelocal
http_access deny all

mais mesmo assim nos relatorios do sarg aparecem algums ip que nao pertencem a minha rede, inclusive tbm aparece nos log do firewall

spikey · 01/06/2009, 17:46

Faça o seguinte, monitore esses ips pelo tcpdump:

tcpdump -i any src host <ip> -nn

dalveson · 02/06/2009, 09:05

Segue ae um screen do relatorio do sarg o estranho é que se observamos o tempo que estes ips mantiveram conectados o que mais demorou foi 3 segundos, por isso me apareceu uma segunda hipotese, visto que o meu squid so esta permitindo conexoes da rede local e bloqueando todo o resto, e o meu firewall esta com as chain input e forward DROP, pensei quem sabe isso nao poderia ser virus na rede, existe essa possibilidade ou o firewall esta comprovadamente aberto

att

spikey · 03/06/2009, 08:39

Seguinte, mas monitorando pelo tcpdump, que conclusão chegou? Pois é necessário monitorar para saber a origem destaas conexões...

allex.p · 04/06/2009, 19:22

Feche a porta de entrada do seu squid p/ acessos externos.

dalveson · 09/06/2009, 09:22

qual a regra eu colocaria para fechar a porta para acesso externo

att

spikey · 10/06/2009, 08:30

iptables -I INPUT -p tcp -- dport <porta> -d <device_externo> -j DROP

allex.p · 11/06/2009, 19:08

allex.p Escreveu:Feche a porta de entrada do seu squid p/ acessos externos.

Aliás, feche todas e libere apenas as necessárias.

dalveson · 17/06/2009, 09:56

so to passando ak paradizer que a regra de fechar a porta do squid funcionou perfeitamente

vlw pela força galera