Invasão de firewall [RESOLVIDO]

Pinguim Gigante
(usa Fedora)

Enviado em 28/08/2007 - 16:33h

Parece que alguem esta tentando invadir meu firewall. Sou iniciante, e não entendo muito.
No log do squid esta com essa linha que me parece esquisita:
1188329395.871 0 122.116.112.163 TCP_MISS/503 0 CONNECT 168.95.5.25:25 - DIRECT/- -

Isso esta causando lentidão na internet.
Alguém pode me ajudar.
Socorro Pinguins!!!!

tatototino
(usa Slackware)

Enviado em 28/08/2007 - 16:53h

aee beleza, invasão de firewall eu nunca vi, mas o log que você disse siginifica que o endereço 122.116.112.163 está acessando o endereço de algum MTA (168.95.5.25) pelo seu squid , pelo jeito você não declarou as ACL's direito porque você deve estar liberando acesso externo

flww

Pinguim Gigante
(usa Fedora)

Enviado em 28/08/2007 - 17:13h

O que é MTA?

Isso quer dizer que algum merd... esta usando meu servidor como se fosse um servidor de proxy?

Pois usei o traceroute e me levou para um site que busca servidores proxy na wan.

randra
(usa Debian)

Enviado em 28/08/2007 - 17:20h

mail transfer agent.

servidor de emails.

y2h4ck
(usa Suse)

Enviado em 28/08/2007 - 17:49h

Amigo procure um tutorial para configurar corretamente seu proxy porque ele está com relay aberto para o mundo todo usar ele para navegar anonimamente.

Se alguem usar o seu proxy para hackear um site por exemplo, as investigações irão vir para o seu IP.

Então senta a bunda gorda na cadeira ae e configura o proxy direitinho.

GoogleDork: "squid ninja"

Vai no google e procura por esse DorK ae .. vc vai achar um tutorial muito bom que vai te ajudar a perder todas as duvidas sobre proxy.


Abraços.

Pinguim Gigante
(usa Fedora)

Enviado em 28/08/2007 - 18:02h

Eu não sou gordo não. Sou magrinho, magrinho. Ha, ha, ha!!!

Os configs do squid e iptables eu peguei na internet, não desemvolvi apenas adaptei.

No squid.conf existe uma ACL para bloquear acessos externos, mas não sei se esta no lugar correto já que seguem uma ordem de execução.

No iptables, eu até negei o ip em questão. Mas ainda assim, o audit fica dando mensagem de acesso.

Dondajr
(usa Debian)

Enviado em 28/08/2007 - 19:51h

Kra to tendo a mesma coisa aqui.. se eu consegui algo eu te aviso...

mas entra aqui http://www.visolve.com/squid/squid26/contents.php é tipo uma explicaçao de cada opcao do squid.. deve te ajuda

Dondajr
(usa Debian)

Enviado em 28/08/2007 - 20:04h

Ve isso..

acho q vai ajuda

http://wiki.underlinux.com.br/index.php/Projetos/Squid-Doc#Erro_I:_Defini.C3.A7.C3.A3o_de_relay_do_s...

TSM
(usa Debian)

Enviado em 28/08/2007 - 20:55h

Amigo, concordo plenamente com o y2h4ck, o seu squid esta escancarado para o mundo, e os lamers que procurão proxy mau configurado, para não ser rastreados em uma invasão, deve está usando o seu, para esses fins.
Aí vai uma dica:
abra o seu squid.conf, e ve se as linhas abaixo está lá:

acl all src 0.0.0.0/0.0.0.0
http_access allow all

se estiver mude a segunda linha do código acima para:

http_access deny all

e da uma configurada boa no seu firewall, blz.

Pinguim Gigante
(usa Fedora)

Enviado em 29/08/2007 - 08:55h

Tem essa linha sim. Mas também tem a linha para negar. Vou colocar aqui:

# Dados do Squid
http_port 3128
visible_hostname host@rg.com.br

# Configuração do cache
cache_mem 512 MB
maximum_object_size_in_memory 4096 KB
maximum_object_size 300 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 10240 16 256

#Mensagens de erro do Squid em Português
error_directory /usr/share/squid/errors/Portuguese

# Localização do arquivo de log do Squid
cache_access_log /var/log/squid/access.log

# Atualização do Cache
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280
refresh_pattern . 15 20% 22820

#IP's da rede local liberado tudo
acl ip_liberado src "/etc/squid/ip_liberado"
http_access allow ip_liberado

# Regras de bloqueio (o IP x somente tem acesso ao site y)
#acl site_restrito dstdomain "/etc/squid/site_restrito"
#acl ip_restrito src "/etc/squid/ip_restrito"
#http_access deny ip_restrito !site_restrito

#IP's da rede local bloqueados
#acl ip_negado src "/etc/squid/ip_negado"
#http_access deny ip_negado

# Regras de bloqueio de site ***por palavras
acl palavra dstdom_regex "/etc/squid/palavras_negadas"
http_access deny palavra

# Regras de bloqueio de site ***por url
#acl horario_liberado time MTWHF 12:30-13:00
acl site url_regex -i "/etc/squid/sites_negados"
#http_access deny site !horario_liberado
http_access deny site

#Bloqueio por download de arquivo
acl video1 url_regex -i \.avi
http_access deny video1

acl video2 url_regex -i \.wmv
http_access deny video2

acl video3 url_regex -i \.mpg
http_access deny video3

acl video4 url_regex -i \.rmvb
http_access deny video4

acl video5 url_regex -i \.mpeg
http_access deny video5

acl video6 url_regex -i \.mpe
http_access deny video6

acl video7 url_regex -i \.mov
http_access deny video7

acl mp3 url_regex -i \.mp3
http_access deny mp3

acl wav url_regex -i \.wav
http_access deny wav

acl intruder src 122.116.0.0
http_access deny intruder

# Regras de gerais
acl all src 0.0.0.0/0.0.0.0
http_access allow all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.0.0.0
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
#acl Safe_ports port 443 563 #https, news
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 20 #ftp-data
acl Safe_ports port 110 #pop
acl Safe_ports port 25 #smtp
acl purge method PURGE
acl CONNECT method CONNECT

#http_access allow Safe_ports
#http_access allow SSL_ports
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.0.0/24

# Controle de uso de banda para a rede local
delay_pools 1
delay_class 1 2
#delay_parameters 1 114688/114688 16384/16384 #com a conexao de 1024 kbps
delay_parameters 1 262144/262144 32768/32768
delay_access 1 allow redelocal

# Libera para a rede local

http_access allow localhost
http_access allow redelocal

# Bloqueia acessos externos
http_access deny all

# Proxy transparente
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_uses_host_header on
httpd_accel_with_proxy on

rodrigom
(usa Debian)

Enviado em 29/08/2007 - 09:23h

Acho que seu problema esta aqui:

# Regras de gerais
acl all src 0.0.0.0/0.0.0.0
http_access allow all <-------- Voce realmente tem a linha mas esta como allow, tente mudar para deny e deixar allow somente a a rede que realmente é e sua..

Pinguim Gigante
(usa Fedora)

Enviado em 29/08/2007 - 10:12h

Estava desconfiado disso, mas não arrisquei.
Visto que existe outra empresa usando o mesmo Swith e Roteador. É um rolo complicado aqui, que esta fora dos meus domínios administrativos.