Invasão - logs sem limites

1. Invasão - logs sem limites

alessander
(usa CentOS)

Enviado em 24/03/2009 - 09:13h

Olá pessoal, estou com um problema que está me dando uma dor de cabeça muito grande. Meus logs de acesso estão absurdamente grandes porque alguma tentativa de acesso está invadindo minha rede. Segundo algumas informações, está vindo do roteador isso. Segue abaixo um minúsculo pedaço do arquivo access.log, dentro do squid.

Como podem ver, estão todos negados, mas está enxendo meu servidor de porcaria e deixando a rede mais lenta.
_______________________________________________________________________________
1237889410.939 3 80.93.48.207 TCP_DENIED/403 292 HEAD http://www.hrhome.ru/check_proxy.php? - NONE/- text/html
1237889414.909 3 201.13.59.244 TCP_DENIED/403 1371 GET http://69.147.112.192/config/isp_verify_user? - NONE/- text/html
1237889419.043 5 68.58.152.250 TCP_DENIED/403 1363 GET http://66.163.169.183/config/pwtoken_get? - NONE/- text/html
1237889420.477 1 193.140.108.146 TCP_DENIED/403 1331 GET http://images.google.com/ - NONE/- text/html
1237889427.364 1 92.126.33.90 TCP_DENIED/403 1331 GET http://images.google.com/ - NONE/- text/html
1237889429.827 775 88.6.126.35 TCP_DENIED/403 1363 GET http://203.209.228.42/config/pwtoken_get? - NONE/- text/html
1237889440.152 1 211.143.30.110 TCP_DENIED/403 1374 GET http://www.homeloanclubs.com/proxyheader.php - NONE/- text/html
1237889440.555 1 80.168.247.122 TCP_DENIED/403 1315 CONNECT login.icq.com:443 - NONE/- text/html
1237889441.158 2 125.232.3.217 TCP_DENIED/403 1389 GET http://n12.login.scd.yahoo.com/config/isp_verify_user? - NONE/- text/html
1237889441.890 2 211.143.30.110 TCP_DENIED/403 1328 GET http://www.yahoo.com/ - NONE/- text/html
1237889443.385 575 125.232.3.217 TCP_DENIED/403 1371 GET http://69.147.112.217/config/isp_verify_user? - NONE/- text/html

_____________________________________________________________________________

Se alguem puder me ajudar, será muito agradecido.

Valeuuuuu

0 0

Quote

2. Re: Invasão - logs sem limites

predator
(usa Debian)

Enviado em 24/03/2009 - 09:31h

olá

como está setado no squid.conf a permissão de acesso da acl all?

abs

0 0

Quote

3. Re: Invasão - logs sem limites

alessander
(usa CentOS)

Enviado em 24/03/2009 - 09:58h

Opa, é o relatório do squid sim.... lá no squid.conf está assim......>

início do squid.......> acl all src 0.0.0.0/0.0.0.0

http_access deny CONNECT !SSL_ports
http_access allow localhost
#icp_access allow all

http_access allow redelocal
#http_access allow all

http_access deny all

Obrigado

0 0

Quote

4. Re: Invasão - logs sem limites

predator
(usa Debian)

Enviado em 24/03/2009 - 10:08h

ta usando ele transparente?

como estão as regras de redirecionamento da porta 80 no seu firewall?

0 0

Quote

5. Re: Invasão - logs sem limites

alessander
(usa CentOS)

Enviado em 24/03/2009 - 10:18h

Não entendo muito de firewall, ainda estou estudando..... mas tá o assim no firewall....>

IPLAN=192.168.1.0/255.255.255.0

MODP=/sbin/modprobe
$MODP iptable_nat
$MODP iptable_filter
$MODP ip_nat_ftp
$MODP ip_conntrack_ftp
$MODP ipt_MASQUERADE

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F

Depois tenho essa regra para porta 80
/sbin/iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT --to-destination xxx.xxx.(servidor firewall):3128

mais abaixo, essa regra.....
/sbin/iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j REJECT

:) thanks

0 0

Quote