Hola a todos! Estoy revisando mi log de squid /var/squid/logs/access.log y veo las 3 primeras líneas corresponden a una estación de mi red local IP:153.51.24.26. Pero la siguiente tiene un ip desconocido que me preocupa porque no se que es. 052149481.544 2107 153.51.24.26 TCP_MISS/302 442 GET http://www.ciudad.com.ar/ - DIRECT/www.ciudad.com.ar text/html 1052149482.466 921 153.51.24.26 TCP_MISS/302 535 GET http://www.ciudad.com.ar/ar/ - DIRECT/www.ciudad.com.ar text/html 1052149483.866 44 153.51.24.26 TCP_IMS_HIT/304 214 GET http://www.ciudad.com.ar/ar/incl 1053623669.419 344790 64.86.71.48 TCP_MISS/000 658 CONNECT mailin-01.mx.aol.com:25 - DIRECT/mailin-01.mx.aol.com - 1053623670.102 330842 64.86.71.48 TCP_MISS/000 602 CONNECT mailin-02.mx.aol.com:25 - DIRECT/mailin-02.mx.aol.com - Mi proxy de internet está protegido, cuando ejecuto un nmap me aparece solo los puertos. # nmap -sS 153.51.24.148 Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Interesting ports on internetx.local (153.51.24.148): (The 1520 ports scanned but not shown below are in state: closed) Port State Service 22/tcp filtered ssh 111/tcp open sunrpc 3128/tcp open squid-http Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds Otra cosa, ¿cómo saco el servicio sunrpc? Luego en /var/log/mensages encuentro esto: May 21 17:40:21 internetx kernel: NAT: 0 dropping untracked packet c0bf4c00 1 213.95.15.200 -> 200.70.50.189 El ip: 200.70.50.189 es el que me asigna el proveedor de Internet. Por favor si alguien conoce sobre el tema, si me puede comentar algo. Muchas gracias.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Ayudarte no puedo ayudarte mucho, pareces un usuario mucho mas experimentado que yo, solo comentar que yo me he encontrado con cosas similares en los logs, con ip's "locales" que no tengo asignadas algo que me chocó muchisimo y muchos paquetes ICMP de origines desconocidos (ureachable host) concretamente... esperaré con ansia la respuesta de alguien de la lista El Jueves, 22 de Mayo de 2003 21:12, Ariel Plaza escribió:
Hola a todos!
Estoy revisando mi log de squid /var/squid/logs/access.log y veo las 3 primeras líneas corresponden a una estación de mi red local IP:153.51.24.26. Pero la siguiente tiene un ip desconocido que me preocupa porque no se que es.
052149481.544 2107 153.51.24.26 TCP_MISS/302 442 GET http://www.ciudad.com.ar/ - DIRECT/www.ciudad.com.ar text/html 1052149482.466 921 153.51.24.26 TCP_MISS/302 535 GET http://www.ciudad.com.ar/ar/ - DIRECT/www.ciudad.com.ar text/html 1052149483.866 44 153.51.24.26 TCP_IMS_HIT/304 214 GET http://www.ciudad.com.ar/ar/incl 1053623669.419 344790 64.86.71.48 TCP_MISS/000 658 CONNECT mailin-01.mx.aol.com:25 - DIRECT/mailin-01.mx.aol.com - 1053623670.102 330842 64.86.71.48 TCP_MISS/000 602 CONNECT mailin-02.mx.aol.com:25 - DIRECT/mailin-02.mx.aol.com -
Mi proxy de internet está protegido, cuando ejecuto un nmap me aparece solo los puertos.
# nmap -sS 153.51.24.148
Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Interesting ports on internetx.local (153.51.24.148): (The 1520 ports scanned but not shown below are in state: closed) Port State Service 22/tcp filtered ssh 111/tcp open sunrpc 3128/tcp open squid-http
Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds
Otra cosa, ¿cómo saco el servicio sunrpc?
Luego en /var/log/mensages encuentro esto:
May 21 17:40:21 internetx kernel: NAT: 0 dropping untracked packet c0bf4c00 1 213.95.15.200 -> 200.70.50.189
El ip: 200.70.50.189 es el que me asigna el proveedor de Internet.
Por favor si alguien conoce sobre el tema, si me puede comentar algo. Muchas gracias.
- -- What garlic is to food, insanity is to art. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iQCVAwUBPs0i4J4FAoOK3dVcAQJI2QQAj7+dr+1mZExCQQ2wo70vtkh7ib3dAlz+ GtMTOSnObhRq6G1Oqqr+yJDz7R91INhUVpcNuj9RRb0iJYBWoKCQAjVVKWXiVYWa ht1CVuearqogkezpVB7fScwWyHN+BpIK6OvOlFaCjMkJQJF32b2VdEM5DHu7QHQi fIz0ENRdsLU= =FY4d -----END PGP SIGNATURE-----
Hola :) Ariel Plaza wrote:
Hola a todos!
Estoy revisando mi log de squid /var/squid/logs/access.log y veo las 3 primeras líneas corresponden a una estación de mi red local IP:153.51.24.26. Pero la siguiente tiene un ip desconocido que me preocupa porque no se que es.
[...]
Mi proxy de internet está protegido, cuando ejecuto un nmap me aparece solo los puertos.
# nmap -sS 153.51.24.148
Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Interesting ports on internetx.local (153.51.24.148): (The 1520 ports scanned but not shown below are in state: closed) Port State Service 22/tcp filtered ssh 111/tcp open sunrpc
¿Para qué usas el 111? Yo no lo habilitaría.
3128/tcp open squid-http
Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds
Otra cosa, ¿cómo saco el servicio sunrpc?
netstat -netapu Te muestra los servicios que tienes arrancados y el proceso que tiene abierto dicho puerto -> portmap Teclea: rcportmap stop Si no quieres que vuelva a arrancarse: rpm -e portmap Lo desinstalas y tan contento :)
Luego en /var/log/mensages encuentro esto:
May 21 17:40:21 internetx kernel: NAT: 0 dropping untracked packet c0bf4c00 1 213.95.15.200 -> 200.70.50.189
El ip: 200.70.50.189 es el que me asigna el proveedor de Internet.
Por favor si alguien conoce sobre el tema, si me puede comentar algo. Muchas gracias.
Siento no poder ser de más ayuda en estos momentos 0:) Rafa -- rgriman@suse.it http://www.suse.de/es http://www.suse.com rafael.griman@hispalinux.es http://www.hispalinux.es rafa@artenet-cb.es registered Linux user 286102 http://counter.li.org/ "If brute force doesn't work, you aren't using enough."
uso suse 8,1 instale el firewall de suse y squid en el puerto 3128, lo que me extraña es que mis usuarios puedan ver web sin utilizar el squid intente bloquearlos agregando un drop con iptables pero no me llev0 bien con el la ultima vez que configure el manejo de paquetes fue con ipchains pero me gustaria poder complementar el bloqueo la salida por protocolo al meos web gracias
uso suse 8,1 instale el firewall de suse y squid en el puerto 3128, lo que me extraña es que mis usuarios puedan ver web sin utilizar el squid intente bloquearlos agregando un drop con iptables pero no me llev0 bien con el la ultima vez que configure el manejo de paquetes fue con ipchains pero me gustaria poder complementar el bloqueo la salida por protocolo al meos web
gracias
grana multi.com.uy wrote:
uso suse 8,1 instale el firewall de suse y squid en el puerto 3128, lo que me extraña es que mis usuarios puedan ver web sin utilizar el squid intente bloquearlos agregando un drop con iptables pero no me llev0 bien con el la ultima vez que configure el manejo de paquetes fue con ipchains pero me gustaria poder complementar el bloqueo la salida por protocolo al meos web
gracias
Facil amigo, ponle esta regla y los obligas a salir por el squid iptables -t filter -A FORWARD -p tcp -s [red-interna ej: 192.168.0.0/24] -d 0/0 --dport 80 -j DROP iptables -t filter -A FORWARD -p udp -s [red-interna ej: 192.168.0.0/24] - 0/0 --dport 80 -j DROP Y listo
estimado gonzalez ya habia probado esto sin ponerle que se incluyera en la tabla filter pero sigue igual en este momento no tengo coniguracion en mi usuario de proxy y salgo , lento pero salgo hice un tracert www.yahoo.com y sale por mi servidor suse por default gateway y sigue gracias
uso suse 8,1 instale el firewall de suse y squid en el puerto 3128, lo que me extraña es que mis usuarios puedan ver web sin utilizar el squid intente bloquearlos agregando un drop con iptables pero no me llev0 bien con el la ultima vez que configure el manejo de paquetes fue con ipchains pero me gustaria poder complementar el bloqueo la salida por protocolo al meos web
gracias
Facil amigo, ponle esta regla y los obligas a salir por el squid
iptables -t filter -A FORWARD -p tcp -s [red-interna ej: 192.168.0.0/24] -d 0/0 --dport 80 -j DROP iptables -t filter -A FORWARD -p udp -s [red-interna ej: 192.168.0.0/24] - 0/0 --dport 80 -j DROP
Y listo
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
grana multi.com.uy wrote:
estimado gonzalez ya habia probado esto sin ponerle que se incluyera en la tabla filter pero sigue igual en este momento no tengo coniguracion en mi usuario de proxy y salgo , lento pero salgo hice un tracert www.yahoo.com y sale por mi servidor suse por default gateway y sigue
gracias
Es muy raro amigo, lo acabo de ver y a mi me esta funcionando, le quito el iptables y puedo navegar, lo vuelvo a poner y dejo de navegar sin el proxy. has un iptables -L a ver que te sale...
uso suse 8,1 instale el firewall de suse y squid en el puerto 3128, lo
que
me extraña es que mis usuarios puedan ver web sin utilizar el squid intente bloquearlos agregando un drop con iptables pero no me llev0 bien
con
el la ultima vez que configure el manejo de paquetes fue con ipchains pero
me
gustaria poder complementar el bloqueo la salida por protocolo al meos web
gracias
Facil amigo, ponle esta regla y los obligas a salir por el squid
iptables -t filter -A FORWARD -p tcp -s [red-interna ej: 192.168.0.0/24] -d 0/0 --dport 80 -j DROP iptables -t filter -A FORWARD -p udp -s [red-interna ej: 192.168.0.0/24] - 0/0 --dport 80 -j DROP
Y listo
en realidad tuve que agregar estos estas dos reglas a la tabla de filter
pero tuve que hacerlo con I de insert en lugar de A (add) puesto que habia
ordenes que salian con accept y no llegaba nunca a utilizar estas reglas
en resumidas cuentas esatas nuevas reglas hacen que:
paquetes tcp o udp provenientes (s source) proveniente de ips internas
192.168.0.(1-255) con destino a puerto 80 y cualquier ip de destino sean
descartados o sea que cualquier paquete que intente pasar entre (forward)
las tarjetas de red hacia el puero 80 sean descartados (drop)
por lo tanto los usuarios que deseen conectarse a internet deberan
configurar sus browsers para usar proxy o sea ip del servidor y puerto proxy
generalmente squid 3128
iptables -t filter -I FORWARD -p tcp -s [red-interna ej:
92.168.0.0/24] -d 0/0 --dport 80 -j DROP
iptables -t filter -I FORWARD -p udp -s [red-interna ej: 192.168.0.0/24] -d
0/0 --dport 80 -j DROP
estas reglas solo destruiran paquetes con destino port 80 o sea www el resto
se enmascara libremente o sea icq messager etc
recuerden que estas instrucciones deben agregarse en algun scrupt de inicio
por que estan solo escritas en memoria
----- Original Message -----
From: "Hipólito A. González M."
grana multi.com.uy wrote:
uso suse 8,1 instale el firewall de suse y squid en el puerto 3128, lo que me extraña es que mis usuarios puedan ver web sin utilizar el squid intente bloquearlos agregando un drop con iptables pero no me llev0 bien con el la ultima vez que configure el manejo de paquetes fue con ipchains pero me gustaria poder complementar el bloqueo la salida por protocolo al meos web
gracias
Facil amigo, ponle esta regla y los obligas a salir por el squid
iptables -t filter -A FORWARD -p tcp -s [red-interna ej: 192.168.0.0/24] -d 0/0 --dport 80 -j DROP iptables -t filter -A FORWARD -p udp -s [red-interna ej: 192.168.0.0/24] - 0/0 --dport 80 -j DROP
Y listo
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Thursday 22 May 2003 14:12, Ariel Plaza wrote:
052149481.544 2107 153.51.24.26 TCP_MISS/302 442 GET http://www.ciudad.com.ar/ - DIRECT/www.ciudad.com.ar text/html 1052149482.466 921 153.51.24.26 TCP_MISS/302 535 GET http://www.ciudad.com.ar/ar/ - DIRECT/www.ciudad.com.ar text/html 1052149483.866 44 153.51.24.26 TCP_IMS_HIT/304 214 GET http://www.ciudad.com.ar/ar/incl 1053623669.419 344790 64.86.71.48 TCP_MISS/000 658 CONNECT mailin-01.mx.aol.com:25 - DIRECT/mailin-01.mx.aol.com - 1053623670.102 330842 64.86.71.48 TCP_MISS/000 602 CONNECT mailin-02.mx.aol.com:25 - DIRECT/mailin-02.mx.aol.com -
No soy un experto, pero por lo que pude investigar, la IP es de un ISP de Honduras. $ whois 64.86.71.48 ... Teleglobe Inc. TELEGLOBE (NET-64-86-0-0-1) 64.86.0.0 - 64.86.255.255 Multivision - ISP in Honduras MULTIVISION-TGO (NET-64-86-71-0-1) 64.86.71.0 - 64.86.71.255 ... A mí me parece que están usando tu proxy como annonymous proxy. Posiblemente tengas algún fallo de configuración que hace que usuarios externos lo puedan utilizar también como proxy.
# nmap -sS 153.51.24.148
Recuerda que de esta forma estás escaneando el servidor desde ADENTRO de tu red local. Checa si puedes escanearlo desde una máquina FUERA de tu red.
May 21 17:40:21 internetx kernel: NAT: 0 dropping untracked packet c0bf4c00 1 213.95.15.200 -> 200.70.50.189
La IP pertenece a SuSE (??). $ whois 213.95.15.200 ... inetnum: 213.95.15.0 - 213.95.15.255 netname: SUSE-DHS-NET descr: SuSE GmbH, D-90443 Nuernberg ... Posiblemente sea algún error de configuración de iptables o algún paquete que llegó demasiado tarde para ser relacionado con alguna conexión.
El ip: 200.70.50.189 es el que me asigna el proveedor de Internet. ^^^^^^^^^^^^^ NUNCA, NUNCA, NUNCA, NUNCA, hagas esto!!!
Espero haber sido de ayuda. - -- Benjamín Ubach Nieto Reality is acceptable... | spamfree at tutopia.com if practiced with moderation... | ICQ: 66021618 Linux Registered User: 310305 | MSN: exmetallifan at hotmail.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux) iD8DBQE+zXCAn/37kYXielsRAgQ7AJ9JYOWb/b5x5RxpI4jo1pL/zdZniwCeOk7B U5wLdIm5n/g2hFq3eB+LYWs= =FHv7 -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Llamame bestia, pero estás seguro que no tienes activado el sistema de actualizaciones automaticas de SuSE 8.x?????????? SuSE Linux en sus ultimas versiones tiene un auto-update (rollo windows update) de Microsoft.... Alomejor es eso, de tanto en tanto hace conexiones a los servers de suse para ver que tal van los paquetes.... Suerte! El Viernes, 23 de Mayo de 2003 02:51, Benjamín Ubach escribió:
On Thursday 22 May 2003 14:12, Ariel Plaza wrote:
052149481.544 2107 153.51.24.26 TCP_MISS/302 442 GET http://www.ciudad.com.ar/ - DIRECT/www.ciudad.com.ar text/html 1052149482.466 921 153.51.24.26 TCP_MISS/302 535 GET http://www.ciudad.com.ar/ar/ - DIRECT/www.ciudad.com.ar text/html 1052149483.866 44 153.51.24.26 TCP_IMS_HIT/304 214 GET http://www.ciudad.com.ar/ar/incl 1053623669.419 344790 64.86.71.48 TCP_MISS/000 658 CONNECT mailin-01.mx.aol.com:25 - DIRECT/mailin-01.mx.aol.com - 1053623670.102 330842 64.86.71.48 TCP_MISS/000 602 CONNECT mailin-02.mx.aol.com:25 - DIRECT/mailin-02.mx.aol.com -
No soy un experto, pero por lo que pude investigar, la IP es de un ISP de Honduras.
$ whois 64.86.71.48 ... Teleglobe Inc. TELEGLOBE (NET-64-86-0-0-1) 64.86.0.0 - 64.86.255.255 Multivision - ISP in Honduras MULTIVISION-TGO (NET-64-86-71-0-1) 64.86.71.0 - 64.86.71.255 ...
A mí me parece que están usando tu proxy como annonymous proxy. Posiblemente tengas algún fallo de configuración que hace que usuarios externos lo puedan utilizar también como proxy.
# nmap -sS 153.51.24.148
Recuerda que de esta forma estás escaneando el servidor desde ADENTRO de tu red local. Checa si puedes escanearlo desde una máquina FUERA de tu red.
May 21 17:40:21 internetx kernel: NAT: 0 dropping untracked packet c0bf4c00 1 213.95.15.200 -> 200.70.50.189
La IP pertenece a SuSE (??).
$ whois 213.95.15.200 ... inetnum: 213.95.15.0 - 213.95.15.255 netname: SUSE-DHS-NET descr: SuSE GmbH, D-90443 Nuernberg ...
Posiblemente sea algún error de configuración de iptables o algún paquete que llegó demasiado tarde para ser relacionado con alguna conexión.
El ip: 200.70.50.189 es el que me asigna el proveedor de Internet.
^^^^^^^^^^^^^ NUNCA, NUNCA, NUNCA, NUNCA, hagas esto!!!
Espero haber sido de ayuda.
-- Benjamín Ubach Nieto Reality is acceptable... | spamfree at tutopia.com if practiced with moderation... | ICQ: 66021618 Linux Registered User: 310305 | MSN: exmetallifan at hotmail.com
- -- Razors pain you; Rivers are damp; Acids stain you; And drugs cause cramp. Guns aren't lawful; Nooses give; Gas smells awful; You might as well live. -- Dorothy Parker -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iQCVAwUBPs2lsJ4FAoOK3dVcAQLQEAP9HG9ZjYTHoiCiYOnlT/eSf9XYJ8Qb/SsK NM/OEkQkkfiRzc/CWMhEMbVqV5j9I/tFIlsni9KSQgCHIFcEsig0G9kQTKO0s8Ie 5fhl14J9/kGudwiuWMYdXQJftSB76lh+ChvjTvpOZXQqnQbQCyb8SjZTQhldZ//A aMkmP+gv5fc= =R/if -----END PGP SIGNATURE-----
participants (6)
-
"Hipólito A. González M."
-
Ariel Plaza
-
Benjamín Ubach
-
grana multi.com.uy
-
Rafael Grimán
-
Sharek