Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Proxy Vulneravel externamente (resolvido)
27/05/2009, 11:06
Resposta: #1
Proxy Vulneravel externamente (resolvido)
Galera to precisando de uma ajuda para tentar saber e solucionar o que esta causando um problema na minha rede.
Tenho um firewall com as politicas input e forward DROP e so output como ACCEPT
to rodando na rede squid 2.7 mais sarg
recentemente tenho observado nos relatorios do sarg, alguns ips estranos, por exemplo:
minha rede 192.168.0.xxx
e nos relatorios do sarg esta aparecendo algum ips como
64.150.189.148
66.195.245.216
95.188.169.210
216.240.152.215

nao consegui entender o pq da minha rede ser 192.168.0.xxx e esses ips que nao estao na mesma rede estarem acessando, será alguma falha no firewall, sera que o meu proxy esta sendo usado por alguem que nao seja da rede interna?

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/05/2009, 14:22
Resposta: #2
Re: Acessos nao identificados
galera ja descobri o q esta acontecendo, é que meu proxy esta aberto.
teria como alguem me dizer como fecha-lo e abrir somente para rede local

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/05/2009, 16:18
Resposta: #3
Re: Acessos nao identificados
Boa tarde
Se não me engano a determinação para rede local seria no squid.conf na linha
acl all src 192.168.0.0/24
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/05/2009, 16:39
Resposta: #4
Re: Acessos nao identificados
ja tentei essa configuração e tbm nao deu certo
qdo executo o comando tail -200 /var/log/messages, ele me retorna os logs de alguns ip que nao pertencem a minha rede
tipo:
mangle_PREROUTING->IN=eth1 OUT= MAC=00:1e:90Sorrisão8Sorrisãob:52:00:11:5c:9d:0d:e2:08:00 SRC=200.255.255.70 DST=IP_DO_SERVIDOR LEN=179 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=UDP SPT=53 DPT=52271 LEN=159

axo que na realidade o problema esta na minha chain da tabela mangle prerouting, segue abaixo como estao todas chains:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

ja tentei DROP na tabela -t mangle -P PREROUTING, so q qdo fiz isso toda a rede ficou sem acessar a internet, sera que eu poreria por como DROP a -t mangle -P PREROUTING e em seguida sair liberando os acessos, como que eu posso fazer isso?

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
29/05/2009, 08:32
Resposta: #5
Re: Proxy Vulneravel externamente
Faça:

netstat -ntpl

Veja em qual dos endereçõs o squid está escutando, isso também deve ser configurado no firewall...
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
30/05/2009, 20:36
Resposta: #6
Re: Proxy Vulneravel externamente
adiciona essa configuração no squid.conf, no final do arquivo.

#Bloqueando acessos externos

http_access deny all
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
01/06/2009, 17:20
Resposta: #7
Re: Proxy Vulneravel externamente
ja esta assim tbm amigo

fis da seguinde maneira criei a acl redelocal e deixei a all da maneira como esta
no final do squid fis
http_access allow redelocal
http_access deny all

mais mesmo assim nos relatorios do sarg aparecem algums ip que nao pertencem a minha rede, inclusive tbm aparece nos log do firewall

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
01/06/2009, 17:46
Resposta: #8
Re: Proxy Vulneravel externamente
Faça o seguinte, monitore esses ips pelo tcpdump:

tcpdump -i any src host <ip> -nn
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
02/06/2009, 09:05
Resposta: #9
Re: Proxy Vulneravel externamente
[Imagem: capturarznh.th.jpg]

Segue ae um screen do relatorio do sarg o estranho é que se observamos o tempo que estes ips mantiveram conectados o que mais demorou foi 3 segundos, por isso me apareceu uma segunda hipotese, visto que o meu squid so esta permitindo conexoes da rede local e bloqueando todo o resto, e o meu firewall esta com as chain input e forward DROP, pensei quem sabe isso nao poderia ser virus na rede, existe essa possibilidade ou o firewall esta comprovadamente aberto

att

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
03/06/2009, 08:39
Resposta: #10
Re: Proxy Vulneravel externamente
Seguinte, mas monitorando pelo tcpdump, que conclusão chegou? Pois é necessário monitorar para saber a origem destaas conexões...
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
04/06/2009, 19:22
Resposta: #11
Re: Proxy Vulneravel externamente
Feche a porta de entrada do seu squid p/ acessos externos.

O movimento está parado!
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
09/06/2009, 09:22
Resposta: #12
Re: Proxy Vulneravel externamente
qual a regra eu colocaria para fechar a porta para acesso externo

att

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
10/06/2009, 08:30
Resposta: #13
Re: Proxy Vulneravel externamente
iptables -I INPUT -p tcp -- dport <porta> -d <device_externo> -j DROP
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
11/06/2009, 19:08
Resposta: #14
Re: Proxy Vulneravel externamente
allex.p Escreveu:Feche a porta de entrada do seu squid p/ acessos externos.

Aliás, feche todas e libere apenas as necessárias.

O movimento está parado!
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
17/06/2009, 09:56
Resposta: #15
Re: Proxy Vulneravel externamente
so to passando ak paradizer que a regra de fechar a porta do squid funcionou perfeitamente

vlw pela força galera

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS