IPs Estranhos no S.A.R.G. [RESOLVIDO]

Diego-Garcia
(usa Linux Mint)

Enviado em 09/10/2013 - 13:41h

Boa Tarde Amigos do VoL,

Instalei em um cliente o Squid3 juntamente com o S.A.R.G.
Só que quase todo dia, aparecem IPs estranhos que não estão na faixa do DHCP configurado.
Pela figura abaixo, podem ver que o que não tem nome e o que não começa com 192.168.0.xxx não pertencem a rede.
Bem, suponho que sejam os celulares que conectam via Wireless, só que deveriam pegar um IP dentro da faixa determinada que vai de 100 a 230. Imagino que esses IPs no relatório seja o IP do 3G dos celulares, mas não tenho como confirmar.

http://img843.imageshack.us/img843/4686/yhy9.jpg

Uma outra duvida que tenho é como fazer para o squid armazenar mais arquivos em seu cache, pois vejo que sempre são descartados mais de 80% da navegação e como o link desta empresa é muito lento, queria fazer mais cache. A partição usada para tal, tem em media só 3% de uso.

Obrigado a todos,

Diego Garcia

magno moura
(usa Ubuntu)

Enviado em 09/10/2013 - 18:27h

Boa noite,
coloca no squid para que somente a faixa sa sua rede utilize o squid.
Senao se vc tiver um ip publico nesse linux pode receber solicitaçoes da internet

andrecanhadas
(usa Debian)

Enviado em 09/10/2013 - 23:58h

Feche a porta 3128 na interface da web pois estão usando seu proxy externamente

http://www.vivaolinux.com.br/topico/Redes/BLOQUEAR-CONEXOES-DE-IPS

Diego-Garcia
(usa Linux Mint)

Enviado em 10/10/2013 - 08:23h

Obrigado pela ajuda,
Vou analisar o Tópico passado e ver se consigo aplicar o que tem lá.

Bem, não sei se muda alguma coisa, mas nessa empresa, tem 2 links de internet com IP fixo ligados em um dual balance, um deles é roteado tipo 192.168.x.x e outro é valido tipo 200.206.x.x, dai saindo direto para o firewall e do firewall para a rede interna.

Se mais alguém tiver alguma dica, será bem vinda.

Diego Garcia

magno moura
(usa Ubuntu)

Enviado em 10/10/2013 - 09:17h

So fazer a configuração no squid.
Posta o squid.conf para analisarmos

Diego-Garcia
(usa Linux Mint)

Enviado em 10/10/2013 - 09:34h

# Configuração Squid

# Mensagens de erro em Português
error_directory /usr/share/squid3/errors/Portuguese

# Porta do Squid
http_port 3128 transparent

# Nome do servidor
visible_hostname Squid3

# Cache
cache_mem 1024 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 61440 64 512

# Logs de acesso
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log

# Regras acl Padrao
acl manager proto cache_object

# Regras acl Definidas
acl localhost src 127.0.0.1/32
acl LAN_iface src 192.168.0.0/24

acl MCL arp "/etc/squid3/acls/MCL"
acl SB url_regex -i "/etc/squid3/acls/SB"
acl SL url_regex -i "/etc/squid3/acls/SL"

# Portas acl Padrao
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

# Portas acl Definidas
acl SSL_ports port 30000 # bradesco
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 587 # smtp
acl Safe_ports port 110 # pop3
acl Safe_ports port 22 # ssh
acl Safe_ports port 30000 # bradesco
acl Safe_ports port 81 # tecnicon
acl Safe_ports port 4848 # tecnicon
acl Safe_ports port 8080 # tecnicon
acl Safe_ports port 3050 # tecnicon
acl Safe_ports port 403 # java
acl CONNECT method CONNECT

# Permissões e Bloqueios Padrao
http_access allow manager LAN_iface
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

# Permissões e Bloqueios Definidos
http_access allow MCL
http_access deny SB !SL
http_access allow LAN_iface
http_access deny all

# Sistema Padrao
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

magno moura
(usa Ubuntu)

Enviado em 10/10/2013 - 09:38h

era para o squid ter bloqueado o trafego externo mas faça como amigo falou encima.
caso o squid tambem seja o firewall da rede utilize a regra embaixo

iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j DROP

Diego-Garcia
(usa Linux Mint)

Enviado em 10/10/2013 - 09:42h

O meu script de firewall esta assim:

-----------------------------------------------------------------------------------------------------------

#!/bin/sh -e

echo "# Limpando regras anteriores."
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

echo "# Configuracao de interfaces."
IP_range=192.168.0.0/24 # Faixa de IP.
WAN_iface=eth0 # Conexao com a internet.
LAN_iface=eth1 # Conexao com a rede interna.

echo "# Modulo de repasse e conntrack que habilita a parte de status de conexao."
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack

echo "# Policiamento. Tudo parado como sempre, assim, liberado o necessario."
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

echo "# Permitindo acesso do servidor pela internet e pela rede interna."
iptables -t filter -A INPUT -i $WAN_iface -j ACCEPT
iptables -t filter -A OUTPUT -o $WAN_iface -j ACCEPT
iptables -t filter -A INPUT -s $IP_range -j ACCEPT
iptables -t filter -A OUTPUT -d $IP_range -j ACCEPT

echo "# Liberado so o desejado para a rede interna."
iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 433 -j ACCEPT
iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 8080 -j ACCEPT
#iptables -t filter -A FORWARD -s $IP_range -p tcp --dport 0:65535 -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

echo "# Mascaramento."
iptables -t nat -A POSTROUTING -s $IP_range -o $WAN_iface -j MASQUERADE

echo "# Bloqueando Facebook e IPs."
iptables -N FACEBOOK
iptables -I FORWARD -s $IP_range -j FACEBOOK
for face in `cat /etc/squid3/acls/IPB`;do
iptables -A FACEBOOK -d $face -j REJECT

echo "# Liberando Facebook e IPs via MAC."
iptables -I FORWARD -m mac --mac-source 78:84:3C:32:8E:61 -d $face -j ACCEPT # Mauricio Lan
iptables -I FORWARD -m mac --mac-source 4C:0F:6E:D4:D9:9C -d $face -j ACCEPT # Mauricio Wireless
iptables -I FORWARD -m mac --mac-source 54:53:ED:B4:58:F1 -d $face -j ACCEPT # Fernando Lan
iptables -I FORWARD -m mac --mac-source 84:4B:F5:D5:36:A3 -d $face -j ACCEPT # Fernando Wireless
iptables -I FORWARD -m mac --mac-source E0:DB:55:A1:C7:C0 -d $face -j ACCEPT # Jacinta Lan
iptables -I FORWARD -m mac --mac-source BC:85:56:FC:58:CB -d $face -j ACCEPT # Jacinta Wireless
iptables -I FORWARD -m mac --mac-source 00:90:F5:93:F9:EC -d $face -j ACCEPT # Ricardo Lan
iptables -I FORWARD -m mac --mac-source 48:5D:60:0C:9F:8E -d $face -j ACCEPT # Ricardo Wireless
iptables -I FORWARD -m mac --mac-source 38:AA:3C:6B:A9:A4 -d $face -j ACCEPT # Carla Celular
iptables -I FORWARD -m mac --mac-source 10:D5:42:10:F5:91 -d $face -j ACCEPT # Geni Celular

done

echo "# Liberando Acesso Externo ao Tecnicon."
iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i $WAN_iface -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.2:8080
iptables -t nat -A PREROUTING -i $WAN_iface -p udp --dport 8080 -j DNAT --to-destination 192.168.0.2:8080

echo "# Liberando Acesso Externo as Cameras."
iptables -A FORWARD -p tcp --sport 70 -j ACCEPT
iptables -A FORWARD -p tcp --dport 70 -j ACCEPT
iptables -t nat -A PREROUTING -i $WAN_iface -p tcp --dport 70 -j DNAT --to-destination 192.168.0.230:70
iptables -t nat -A PREROUTING -i $WAN_iface -p udp --dport 70 -j DNAT --to-destination 192.168.0.230:70
#
iptables -A FORWARD -p tcp --sport 4550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4550 -j ACCEPT
iptables -t nat -A PREROUTING -i $WAN_iface -p tcp --dport 4550 -j DNAT --to-destination 192.168.0.230:4550
iptables -t nat -A PREROUTING -i $WAN_iface -p udp --dport 4550 -j DNAT --to-destination 192.168.0.230:4550
#
iptables -A FORWARD -p tcp --sport 5550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5550 -j ACCEPT
iptables -t nat -A PREROUTING -i $WAN_iface -p tcp --dport 5550 -j DNAT --to-destination 192.168.0.230:5550
iptables -t nat -A PREROUTING -i $WAN_iface -p udp --dport 5550 -j DNAT --to-destination 192.168.0.230:5550
#
iptables -A FORWARD -p tcp --sport 6550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6550 -j ACCEPT
iptables -t nat -A PREROUTING -i $WAN_iface -p tcp --dport 6550 -j DNAT --to-destination 192.168.0.230:6550
iptables -t nat -A PREROUTING -i $WAN_iface -p udp --dport 6550 -j DNAT --to-destination 192.168.0.230:6550
#
iptables -A FORWARD -p tcp --sport 8866 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8866 -j ACCEPT
iptables -t nat -A PREROUTING -i $WAN_iface -p tcp --dport 8866 -j DNAT --to-destination 192.168.0.230:8866
iptables -t nat -A PREROUTING -i $WAN_iface -p udp --dport 8866 -j DNAT --to-destination 192.168.0.230:8866
#
iptables -A FORWARD -p tcp --sport 5511 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5511 -j ACCEPT
iptables -t nat -A PREROUTING -i $WAN_iface -p tcp --dport 5511 -j DNAT --to-destination 192.168.0.230:5511
iptables -t nat -A PREROUTING -i $WAN_iface -p udp --dport 5511 -j DNAT --to-destination 192.168.0.230:5511

echo "# Redirecionando porta 80 para 3128."
iptables -t nat -A PREROUTING -i $LAN_iface -p tcp --dport 80 -j REDIRECT --to-port 3128

exit 0;

andrecanhadas
(usa Debian)

Enviado em 10/10/2013 - 09:52h

Esta é a linha que esta permitindo o acesso externo:

iptables -t filter -A INPUT -i $WAN_iface -j ACCEPT

 

Ou seja esta permitindo entrada em qualquer porta que tenha um serviço rodando pela interface ligada a internet:

A regra que o Amigo Magno postou vai funcionar porem seria bom rever seu firewall bloqueando o INPUT externo geral e desbloquear apenas nas porta que esta usando (Cameras)

Eu trocaria a regra acima por:

iptables -A INPUT -i $WAN_iface -p tcp -m multiport --dport 70,8080,4550,5550,6550,8866,5511 -j ACCEPT

 

Diego-Garcia
(usa Linux Mint)

Enviado em 10/10/2013 - 09:55h

Com este codigo acima, conseguirei acesso remoto ao servidor para manutenção?
No caso eu preciso colocar na linha a porta 22 correto?

magno moura
(usa Ubuntu)

Enviado em 10/10/2013 - 10:07h

para so resolver o problema do squid para o externo eu colocaria essa regra acima da que vcs estão discutindo.


iptables -t filter -A INPUT -i $WAN_iface -p tcp --dport 3128 -j DROP

andrecanhadas
(usa Debian)

Enviado em 10/10/2013 - 10:39h

Sim isso habilitaria o acesso ssh externamente