Forums:
Hola Amigos..!!
Tengo una curiosidad...!!
En mi red, mis direcciones empiezan desde la 192.168.1.1 hasta la 192.168.1.100
Tengo configurado mi servidor proxy con sedmail y MailScanner.
Viendo en el log del squid (/var/log/squid/access.log), muesta una dirección que no tengo en mi red, no sé de donde sale. Lo que veo en el log es:
1175184163.658 1030 192.168.1.65 TCP_MISS/200 485 POST http://207.46.110.55/gateway/gateway.dll? - DIRECT/207.46.110.55 application/x-msn-messenger
1175184166.966 4 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/html
1175184168.286 659 192.168.1.66 TCP_MISS/200 486 POST http://207.46.111.15/gateway/gateway.dll? - DIRECT/207.46.111.15 application/x-msn-messenger
1175184172.658 1023 192.168.1.20 TCP_MISS/200 485 POST http://207.46.111.36/gateway/gateway.dll? - DIRECT/207.46.111.36 application/x-msn-messenger
1175184177.667 2 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/html
1175184178.291 624 192.168.1.20 TCP_MISS/200 486 POST http://207.46.111.15/gateway/gateway.dll? - DIRECT/207.46.111.15 application/x-msn-messenger
La dirección 61.529.152.116 no tengo idea de donde sale, supuestamente estan conectandose a mi proxy para hacer peticiones para navegar o para mails, no teno idea de lo que se trata ni como verficarlo.
Busco algun intruso que haya ingresado a mi servidor en los ultimos días con el comando last, tambien busque en los ficheros secure pero no hay nada.
Si podrian ayudarme
Gracias de antemano,
Dav
ip desconocida
Estas permitiendo conexiones externas a tu proxy (o sea, tienes un proxy abierto). Intenta haciendo escuchar a squid unicamente en la interfaz de red interna.
RE:ip desconocida
Y como hago para que Squid escuche unicamente la red interna?
Saludos
Dav
porque no haces que solo las
Porque no creas un archivo en el cual le pones las ips de las maquinas de tu red interna y un proxy transparente, así solo las ips que comentes podrán utilizar tu proxy y nadie más (ver aqui), y también un firewall con políticas DROP para mas seguridad y evitar cualquier molestia, porque a lo mejor tu servidor esta expuesto a cualquier ataque.
squid - como escuchar solo en una interfaz interna
Modifica el parametro http_port en squid.conf
Sería bueno saber que utilizas
Creó que primero con tu firewall niega todo para esa ip.
Segundo explica como tienes configurado tu proxy, usas firewall + haces NAT + y como están tus acl en el Squid.
no pondras todo tu proxy,
no pondras todo tu proxy, sino solamente lo que configuraste y de paso, tu firewall.
"La confianza en sí mismo es el primer secreto del éxito"
Hola: Segun los logs que
Hola:
Segun los logs que envias tu proxy no esta abierto:
1175184177.667 2 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/htm
claramente se indica TCP_DENIED ante la peticion que quizo realizar esa IP, es decir nego la peticion y no permitio el acceso a traves de tu proxy lo cual esta bien.
El hecho que esta IP aparezca intentando realizar una peticion a tu proxy, no necesariamente implica que se haya ingresado a tu servidor. Puesto que el intento simplemente lo realizo desde su maquina apuntando a la IP de tu proxy seguramente con la intencion de verificar si tenias un OPEN PROXY.
Solo para que estes seguro revisa que en tu squid.conf solo se esten permitiendo las acls de tu red interna y que al final tengas esta directiva
http_access deny all
Ademas sigue los consejos del resto de personas, establece un firewall con politicas DROP y unicamente abre los puertos estrictamente necesarios.
There are only 10 types people in the world:
Those who understand binary and those who don't
There are only 10 types people in the world:
Those who understand binary and those who don't
Exacto, qué bueno que
Exacto, qué bueno que leiste lo del TCP_DENIED, yo tampoco lo leí, eso pasa por leer entre líneas.
Por lo visto la configuración del squid ya está, falta cerrar el puerto en el firewall para la wan y listo.
Saludos.
Saludos,
antares
Asi es esta denegada la
Asi es esta denegada la peticiòn, pero si esta persona hace una scaneo de tu red verà cuales es el rango de tu red y se cambiara de ip, lo que con lleva a ip duplicadas, clientes caidos, etc. Te recomiendo usar ip neigh y asi controlas mejor tu acceso a la red.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/
El que esta intentando
El que esta intentando conectarse a tu proxy a lo mejor pudo haber hecho un scan de puertos, puede que este intentando ingresar a tu sistema tambien, puede ser que tengas puertos comprometedores abiertos, por eso mejor cierra todo y da acceso solo a los puertos que necesites y a tu LAN y al usuario principa l para acceso a tu servidor, claro que es algo exagerado mi opinión pero puede ser posible también.
"La confianza en sí mismo es el primer secreto del éxito"
Páginas