Requisições Estranhas no Squid [RESOLVIDO]

paulop
(usa CentOS)

Enviado em 25/08/2010 - 13:45h

Bom Galera, tenho um squid instalado em um servidor CentOS 5

estava a verificar os logs no arquivo access.log (tail -f /var/log/squid/access.log) e percebi uns endereçoes estranhos...


1282754340.871 1765 87.106.89.106 TCP_MISS/200 5761 CONNECT 205.188.96.18:443 - DIRECT/205.188.96.18 -

1282754341.482 19933 87.106.89.106 TCP_MISS/200 3573 CONNECT 206.222.228.2:443 - DIRECT/206.222.228.2 -


e assim fica toda a hora essas requisiçoes
estou perdido e nao sei oq pode ser?


alguem me da uma luz ae?
como bloquear esse tipo de requisição?

Socorro!

irado
(usa XUbuntu)

Enviado em 25/08/2010 - 13:52h

não acha melhor procurar a documentação do squid? acho que fará um ENORME bem a vc (que fica sabendo das coisas) e para seus gerentes/diretores/usuários, que passarão a ter um melhor serviço de alguém capacitado a oferecer serviços melhores.

só leve dica: "TCP_MISS" significa "não encontrei aqui no cache, vou buscar lá na internet pra vc".

quer bloquear? fácil. Desligue a máquina da tomada ou então tire o cabo de rede. Assim ninguém mais vai navegar ;) que é o que vc vai obter quando bloquear êsse tipo de serviço no squid ;)

flames > /dev/null

paulop
(usa CentOS)

Enviado em 25/08/2010 - 14:01h

ta desculpa se estou sendo muito noob
mas da onde sao esses endereçoes 87.106.89.106, pois da minha rede nao sao, essa era minha duvida

dufrosa
(usa Red Hat)

Enviado em 25/08/2010 - 14:13h

Acessei essa pagina para testar o meu e deu Open!

Qual o risco disso?

Como posso resolver?

Abrz!

paulop
(usa CentOS)

Enviado em 25/08/2010 - 14:13h

pois é cara

3128 OPEN! ndl-aas Active API Server Port

ta aberto mesmo
como fazer pra resolver isso?
quais os problemas que isso pode me trazer?

irado
(usa XUbuntu)

Enviado em 25/08/2010 - 14:19h

normalmente há uma diretiva no squid.conf, indicando a porta onde êle vai "escutar"; essa linha deve ser alterada para:

http_port ip.addr.interno:3128

onde ip.addr.interno é o da placa que está "olhando" para sua rede interna; com isso, o squid NÃO vai mais "escutar" em TODOS os endereços disponiveis.

convém também revisar seu firewall (se usa um) alterando suas politicas para DROP e só abrindo (INPUT) aquilo que for DE FATO essencial.

Diede
(usa Debian)

Enviado em 25/08/2010 - 14:33h

Não é exatamente "risco". Só tem que *qualquer um* na Web que saiba seu IP pode usar seu proxy. Do nada sua conexão pode ficar beeeeem lenta por ter um monte de nego pendurado nela acessando seu proxy. Por falar nisso, qual é seu ip? (Tô brincando, tá? rsrsrsrs...).

É como o Irado disse: Através da http_port ip_interno:3128 você pode controlar onde o squid irá escutar E *reveja seu firewall*. Se a porta 3128 está aberta, pode ser que outras também estejam. Pode ter alguém acessando seu MySQL, seu apache, seu FTP, tentando adivinhar sua senha no SSH, abrindo seus arquivos do samba... (Agora sim mudou pra "risco" =/)

paulop
(usa CentOS)

Enviado em 25/08/2010 - 14:50h

Diede meu squid.conf ficou assim

http_port 192.168.0.254: 3128 transparent

Sendo 192.168.0.254 o ip da minha placa de rede interna

a principio resolveu meu problema
mas eu tenho 2 alias dessa placa de rede

eth1:1 = 192.168.5.254
eth1:2 = 192.168.6.254

o squid continuara funcionando nornalmente nessas duas redes?

desculpa a infantilidade
mas é que estou começando a pouco tempo com linux e estou meio perdido
e o servidor nao está aqui comigo para mim poder testar
estou fazendo as alterações remotamente