Squid me deniega algunas ip externa pero siguen consumiendo trafico

Publicado por kenedycruz14, Septiembre 06, 2016, 08:26:07 AM

Tema anterior - Siguiente tema

kenedycruz14

Buenos Dias
ya use el boton de buscar pero no encontre un problema parecido al que tengo. Resulta que en mi server squid en la ultima access restriction tengo el deny all ¡localnet pero lo mas curioso del caso es que al dia siguiente en el sarg aparece unas direcciones ip externas que por supuesto no son de localnet consumiendo 11gb o hasta mas. y en el iptables bloqueo diariamente direcciones pero se que es algo imposible de bloquear toda la red manualmente. mi access log siempre me dice que esta denegando unas ip externas pero al dia siguiente esas mismas ip me consumieron 11gb o mas aqui una muestra de mi acces.log squid3

473001588.384      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.427      0 151.80.204.172 TCP_DENIED/403 3456 CONNECT search.yahoo.com:443 - NONE/- text/html
1473001588.441      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001588.475      0 45.32.87.137 TCP_DENIED/403 3883 GET http://www.sasuga.org/marche/bbs/yybbs.cgi? - NONE/- text/html
1473001588.497      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001588.500      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.504      0 122.114.99.73 TCP_DENIED/403 0 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001588.506      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.524      0 155.94.224.227 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001588.683      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001588.768      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001588.835      0 218.93.233.122 TCP_DENIED/403 3707 GET http://www.jlsf8.com/ - NONE/- text/html
1473001588.930      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001588.961      0 198.55.114.162 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.021      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.066      0 198.55.114.163 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.119      1 27.187.97.147 TCP_DENIED/403 3782 GET http://app.tuwan.com/comment2/api/vote.ashx? - NONE/- text/html
1473001589.138      1 114.112.26.184 TCP_DENIED/403 6361 GET http://www.guoyuangy.com/ - NONE/- text/html
1473001589.142      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.161    200 46.161.9.34 TCP_DENIED/403 3634 POST http://work.a-poster.info:25000/ - NONE/- text/html
1473001589.208      0 155.94.224.223 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.261      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001589.297      0 91.121.209.229 TCP_DENIED/403 3523 GET http://www.proxy-listen.de/azenv.php - NONE/- text/html
1473001589.375      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001589.392      0 198.55.114.232 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.457      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.599      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.600      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.611      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.682      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001589.745      0 84.200.27.215 TCP_DENIED/403 3605 CONNECT authserver.mojang.com:443 - NONE/- text/html
1473001589.779      0 155.94.224.222 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.861      0 104.245.102.166 TCP_DENIED/403 3851 GET http://tjbilon.com/plus/guestbook.php - NONE/- text/html
1473001589.923      0 122.114.99.73 TCP_DENIED/403 4130 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001589.977      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001589.982      0 139.129.15.18 TCP_DENIED/403 3996 POST http://demo.b2ctui.com/web/index.php? - NONE/- text/html

    anteriormente el problema era peor se mejoro mas despues que aplique la regla en el squid de deny all. ante todo muchas gracias ante todo muchas gracias de antemano saudos desde venezuela

firecold

Amigo nos puedes mostrar tus restricciones y reglas en squid, osea tu squid.conf y tus redtricciones en iptables, para poderte ayudar y recomendarte algo mas fuerte, Saludos

kenedycruz14

gracias firecold aqui esta el squid.conf
Código (javascriptacl listaextensiones urlpath_regex "/etc/squid3/listaextensiones"
acl extensioneshtml urlpath_regex "/etc/squid3/extensioneshtml"
acl nocachelist dstdomain "/etc/squid3/nocache_url.txt"
acl blacklist url_regex "/etc/squid3/blacklist.txt"
acl blacksoporte url_regex "/etc/squid3/blacksoporte.txt"
acl permitidas url_regex "/etc/squid3/urlespeciales.txt"
acl DomainNO dstdomain "/etc/squid3/black_domain"
acl redesSociales dstdom_regex "/etc/squid3/redesSociales"
acl macblock arp "/etc/squid3/macblock"
acl sin_redes arp "/etc/squid3/sin_redesSociales"
acl maclibres arp "/etc/squid3/mac-libres.txt"
acl soporteTecnico arp "/etc/squid3/macsoporte"
acl macfacebook arp "/etc/squid3/mac-facebook"
acl jefes arp "/etc/squid3/mac-jefes"
acl prensa arp "/etc/squid3/prensa.txt"
acl blackPrensa dstdom_regex "/etc/squid3/blackPrensa"
acl ivss arp "/etc/squid3/equipoivss"
acl ivss_paginas url_regex "/etc/squid3/pagsegurorrhh"
acl Safe_ports port 53
acl AT_sinrestrincciones arp "/etc/squid3/equipo_admin"
acl AT_sinfacebook arp "/etc/squid3/AT_sinfacebook"
acl URLfacebook url_regex "/etc/squid3/URLfacebook"
acl AT_sinyoutube arp "/etc/squid3/AT_sinyoutube"
acl URLyoutube url_regex "/etc/squid3/URLyoutube"
acl AT_accesototal arp "/etc/squid3/AT_accesototal"
acl AT_sinredes arp "/etc/squid3/AT_sinredes"
acl URLredessociales url_regex "/etc/squid3/URLredessociales"
acl URLtorrent urlpath_regex "/etc/squid3/URLtorrent"
acl URLmega url_regex "/etc/squid3/URLmega"
acl AT_prensa arp "/etc/squid3/AT_prensa"
acl aclips url_regex [0-9) [Seleccionar]
*/.[0-9]*/.[0-9]*/.[0-9]*
acl regexips url_regex [0-9]+.[0-9]+.[0-9]+.[0-9]+
acl todalared src 0.0.0.0
acl Direcionesip urlpath_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl URL_blockext url_regex "/etc/squid3/URLblockext"
acl AT_admin arp 74:27:EA:F6:9F:AF



http_access allow AT_admin
http_access allow AT_sinrestrincciones
http_access deny CONNECT !SSL_ports
http_access allow AT_accesototal !URLprohibido !URLtorrent !URLmega
http_access deny SSL_ports !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa !AT_sinrestrincciones !AT_sinfacebook !AT_accesototal !AT_prensa
http_access allow localhost
http_access deny macblock
http_access allow macfacebook !URLprohibido !URLyoutube !URLtorrent !URLmega
http_access allow soporteTecnico !URLprohibido !URLtorrent
http_access allow maclibres !redesSociales !URLprohibido !URLtorrent !URLmega
http_access allow AT_prensa !redesSociales !deny_rep_mime_flashvideo !deny_rep_mime_shockwave !URLtorrent
http_access allow AT_sinfacebook !URLprohibido !URLfacebook !URLtorrent !URLmega
http_reply_access deny fails !maclibres !jefes !macfacebook !soporteTecnico !permitidas
http_access allow AT_sinyoutube !URLprohibido !URLyoutube !URLtorrent !URLmega
http_reply_access deny fails2 !maclibres !jefes !macfacebook !soporteTecnico !permitidas
http_access deny msn_messenger !permitidas
http_reply_access deny x-type !maclibres !permitidas !jefes !macfacebook !soporteTecnico !permitidas
http_access deny deny_rep_mime_flashvideo deny_rep_mime_shockwave
http_reply_access deny x-type2 !maclibres !permitidas !jefes !macfacebook !soporteTecnico !permitidas
http_access deny useragentq !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny fails !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny fails2 !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny useragent !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny redesSociales !permitidas
http_access deny x-type !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny blacklist !permitidas !jefes
http_access deny x-type2 !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny listaextensiones !permitidas
http_access deny ivss !ivss_paginas
http_access deny all !localnet !AT_admin
http_access deny Direcionesip !localnet !AT_admin
]

quite algunas otras cosas para que no se hiciera tan largo nota que el ultimo es deny all menos localnet pero igual siguen apareciendo ip extrañas
aqui el firewall


Código (php) [Seleccionar]

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT


#*************************************************************#
#*************************************************************#
#                       REGLAS DE INPUT                       #
#*************************************************************#
#*************************************************************#
#PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
$IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT

#PERMITIR PINGS DESDE INTERNET
$IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT

#PERMITIR EL USO DEL SERVIDOR DNS
$IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT

#ACCESO AL PROXY
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --sport 80 -j ACCEPT

# FTP Activo
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --sport 20 -j ACCEPT  # Port

$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --sport 21 -j ACCEPT  # Control

$IPTABLES -A INPUT -p tcp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 1987 -j ACCEPT
#PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE OUTPUT                    #
#*************************************************************#
#*************************************************************#
#PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
$IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT

#PERMITIR PNGS DESDE INTERNET
#$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT

#DNS
$IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -p tcp --sport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT

# FTP Activo
$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 1987 -j ACCEPT  # Contro
#$IPTABLES -A OUTPUT -p tcp --sport 1987 -j ACCEPT  # Control
#$IPTABLES -A OUTPUT -p udp --sport 1987 -j ACCEPT  # Contro

#ACCESO AL PROXY DESDE LA LAN
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --dport 80 -j ACCEPT

#PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS

$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE FORWARD                     #
#*************************************************************#
#*************************************************************#
#HABILITAR CONSULTA DNS
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 53 -j ACCEPT

#HABILITAR EL POP3
#$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 110 -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 995 -j ACCEPT

#HABILITAR EL SMTP
#$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 25 -j ACCEPT

#HABILITAR TRAFICO WEB
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT

#HABILITAR PING
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT

#PERMITIR EL USO DE MSN MESSENGER
#$IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT

#PERMITIR EL USO DEL PUERTO DEL CPANEL
#$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 2083 -j ACCEPT

#PERMITIR EL USO DEL SSL
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 443 -j ACCEPT

#PERMITIR CONEXIONES SSH HACIA EL EXTERIOR
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 22 -j ACCEPT

# FTP Activo
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1024:65535 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1024:65535 -j ACCEPT  # Control

#HABILITAR LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

#*************************************************************#
#*************************************************************#
#                       REGLAS De NAT                         #
#*************************************************************#
#*************************************************************#
#ACTIVANDO EL NAT USANDO MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.200 -p tcp -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 22 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1024:65535 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1024:65535 -j MASQUERADE


#BLOQUEANDO PUERTO 35803 POR BENEO DE GOOGLE
$IPTABLES -A INPUT -p tcp --dport 35803 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 35803 -j DROP
#####BLOQUEO DE HOTSPOTSHIELD##########
$IPTABLES -I FORWARD -p tcp -d 74.115.0.0/16 -j DROP
$IPTABLES -I FORWARD -p tcp -s 74.115.0.0/16 -j DROP

#BLOQUEOS IP ENTRADA
$IPTABLES -I INPUT -s 52.74.174.204 -j DROP # 15/05/15




kenedycruz14

NO COMPRENDO si el sarg me dice que esas ip externas estan denied y aun me generan trafico ya menos que antes de aplicar la regla deny all¡localnet

firecold

Cita de: kenedycruz14 en Septiembre 09, 2016, 11:14:06 PM
NO COMPRENDO si el sarg me dice que esas ip externas estan denied y aun me generan trafico ya menos que antes de aplicar la regla deny all¡localnet

Creo que tanto tu configuracion como tus reglas de iptables estan muy engorrosas y tendras que ordenarlas, ya que squid se maneja leyendo de arriba hacia abajo, osea que tendras que ordenar tu configuracion si no no funcionara, Saludos

kenedycruz14


firecold

Cita de: kenedycruz14 en Septiembre 21, 2016, 07:47:22 AM
esto sigue sucediendo ya me rindo. esta el denegar todo

Solo mira el primer detalle de tus reglas y por eso te dije que las revisaras, ya que squid lee las reglas de arriba hacia abajo, entonces a simple vista puedo ver parte de tu problema, ya que en unas reglas estas permitiendo y denegando las mismas cosas que en otras permites, lo que te quiero decir que revises bien tus reglas y primero que nada revisa el contenido en ellas, como si vas a denegar lo tienes que hacer primero permites y luego deniegas el resto, en ese orden, Saludos


kenedycruz14

Para que vean la magnitud de lo que hay con respecto a este tema 
reinstale todo squid 3  una sola regla denegar todo e instale sarg y sigue la fiesta de direcciones ip que no son localnet por un momento pense que eran los puertos pero no fue asi cambie el puerto del proxy y nada aplique un firewall que hay por internet y aun asi sigue pasando trafico  :-X








por lo menos asi ya descarte que sea squid ya ahora voy para iptables si alguien tiene un conf de iptables mas robusto

firecold

Cita de: kenedycruz14 en Octubre 04, 2016, 12:59:28 PM
Para que vean la magnitud de lo que hay con respecto a este tema 
reinstale todo squid 3  una sola regla denegar todo e instale sarg y sigue la fiesta de direcciones ip que no son localnet por un momento pense que eran los puertos pero no fue asi cambie el puerto del proxy y nada aplique un firewall que hay por internet y aun asi sigue pasando trafico  :-X


No amigo tu problema es configuracion de Squid, ya que squid bloquea o permite el ingreso a ciertas paginas, ni iptables, si se puede hacer pero no es lo ideal, en mi caso es bien facil, en mi red interna por ejemplo la de mi casa, tengo estas reglas


acl admin src 192.168.2.1  # mi Ip en la red
acl localnet src -i  "/etc/squid/bloqueados.lst # rango de IP'S que hay en mi red 192.168.1.2-10"
acl blacklist dstdomain -i "/etc/squid/blacklist.lst" # reglas de bloqueo no solo de paginas si no de otros menjurges

Y para permitir o bloquear

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow admin # le doy todos los acessos a mi ip primero, primero permito y luego deniego por pasos o todo.
http_access allow localnet !blacklist  # permito unicamente las ips mencionadas y le aplico la denegacion de acceso.
http_access deny all # y luego bloqueo todo


Es cuestion de como permites y como bloqueas, hablo del orden de como lo haces, en mi caso soy tan paranoico que solo permito las ips que necesito no mas, hay personas que tienen una red de 100 ips y permiten un rango de 254 ips, osea 154 ips que nada que ver, que no las vas usar y hay otros que permiten redes enormes de mas de mil ips y utilizan unas cuantas, es cuestion de perspectiva y aparte squid tiene un orden para leer el archivo entonces hay que permitir lo que tienes que permitir y desender hasta denegar todo lo que no necesitas, Saludos






por lo menos asi ya descarte que sea squid ya ahora voy para iptables si alguien tiene un conf de iptables mas robusto

kenedycruz14

buen dia nuevamente yo seguire probando lo mas curioso es que  nadie usa ese proxy ya que esta recien instalado y nadie navega a traves de el.
el trafico que esta generando es de la wan proveniente de ip de chinas y rusia estoy conciente que es un ataque por que en lo que arranco el squi en el acces.log espieza como la matrix de ips que intenta acceder y navegar con mi proxy. en las misma pruebas en mi trabajo un dia lo deje permitir todo y en mi casa puse la ip publica que tiene el proxy de mi trabajo y el puerto y yo navegue en mi casa y em el sarg al dia siguiente estaba la ip de mi casa y las paginas que entre. en esta ocasion ya cerre todo en el squid y no me deja navegar como paso aquel dia por que el proxy me rechaza la conexion,

yo seguire probando si en algun momento llego a resolver algo o dar con el problema no dudare en publicarlo por aqui gracias firecold

firecold

Cita de: kenedycruz14 en Octubre 05, 2016, 09:03:49 AM
buen dia nuevamente yo seguire probando lo mas curioso es que  nadie usa ese proxy ya que esta recien instalado y nadie navega a traves de el.
el trafico que esta generando es de la wan proveniente de ip de chinas y rusia estoy conciente que es un ataque por que en lo que arranco el squi en el acces.log espieza como la matrix de ips que intenta acceder y navegar con mi proxy. en las misma pruebas en mi trabajo un dia lo deje permitir todo y en mi casa puse la ip publica que tiene el proxy de mi trabajo y el puerto y yo navegue en mi casa y em el sarg al dia siguiente estaba la ip de mi casa y las paginas que entre. en esta ocasion ya cerre todo en el squid y no me deja navegar como paso aquel dia por que el proxy me rechaza la conexion,

yo seguire probando si en algun momento llego a resolver algo o dar con el problema no dudare en publicarlo por aqui gracias firecold

Te podria recomedar esto, cone sto no se te sale nada que no dejes a proposito: http://www.alterserv.com/foros/index.php?topic=1496.0, Saludos

kenedycruz14

Buenas chicos al parecer ya encontre mi problema con las direcciones de china que me generaban trafico voy por orden


1.gracias a firecold monte unas mejores reglas mas entendibles, en fin solo permitia a localnet lo demas lo denegaba pero cuando  revisaba mi /var/log/squid3/access.log seguia viendo direcciones de otros lugares que no eran de mi localnet las ip era de otros paises que querian conectarse a mi proxy para navegar atraves de el. trabajo para una institucion publica la cual contrato un servicio de cantv empresarial que me dan algunas ip publicas fijas. entonces el servidor que administro por supuesto tiene dos interfaces de red lan y wan ya que  desde cuando llegue solo hay un servidor y en el hay el dns, dhcp y proxy todo eso corriendo bajo ubuntu 12 bueno como ya dije tiene dos interfaces de red siendo cliente en mi trabajo coloco el proxy 192.168.0.254:3128 navegando fino osea bien. pero un dia en mi casa aburrido coloque el proxy pero claro la ip publica 190.xxx.xx.xxx:3128 sorpresa si navegaba y cuando buscaba un servicio de que me dijera mi ubicacion estaba en mi trabajo y no podia ver las paginas bloqueada esto me llevo a arreglar las reglas tanto mi desespero me registre en este foro. como dije al principio solo permiti a  localnet aunque ya no navegaba con la ip publica y puerto desde mi casa pero si me seguia generando trafico de china por ej:

todas las mañana cuando revisaba el sarg 
202.52.156.22    80mg            y todas las paginas que intento acceder las denego  pero igual me generaba trafico denegandola


mi sospecha comenzo cuando instale un nuevo proxy de prueba recien instaladolo y veia el /var/log/squid3/acces.log ya me denegaba ip extrañas cuando cambie el puerto al 3129 al principio los robots no me enviaban nada pero al rato ya tenia peticiones. 

creo que los aburri la solucion mia fue cerrar el puerto 3128 para la wan solo para la wan
muy facil con ufw o con ip tables 
iptables: $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j DROP   eth1 es mi interfaz wan 
 

ufw lo recomiendo de verda muy bueno: ufw deny in on eth1 to any port 3128
 bueno creo que el que este cansado de las 2000 direcciones todos los dias en el sarg esta fue mi solucion espero que le sirva a alguien y bueno si me dan permiso creo que merece abrir un hilo nuevo.
chao gracias y espero ayudarlos como lo hicieron Dios les bendiga

firecold

Squid de cierto modo engorroso, no solo tienes que crear reglas en Squid entendibles, si no tambien en orden, ya que Squid se lee de arriba hacia abajo y eso ha sido problema para muchos, como tambien la buena configuracion de iptables, ya que es la misma historia que Squid, pero que bueno que hayas encontrado un solucion, Saludos