со всего мира лезут на squid

интернет хакеры squid

приятель озадачил, но сам не могу дать ответ ибо вижу такое впервые. домашний сервак "качалка" торентов, с прокси сквид. так вот начали подключаться с сша, тайваня, китая и тд айпи и лезть через него. но даже когда в конфиге стоит acl запретить доступ всем ( 0.0.0.0/0.0.0.0 ) с локальных компьютеров действительно отвечает deny, а эти как то всё равно пролезают кончено больше не гигабайты выкачивают но 10 мб за ночь уже накопилось и sarg показывает 26 пользователей (хотя реальных 3)

Примечание:
вот конфиг iptables.up.rules (ubuntu server)


# Generated by iptables-save v1.4.4 on Mon Jun 21 19:06:40 2010
*nat
:PREROUTING ACCEPT [351:34026]
:POSTROUTING ACCEPT [210:13597]
:OUTPUT ACCEPT [104:8010]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 21 19:06:40 2010
# Generated by iptables-save v1.4.4 on Mon Jun 21 19:06:40 2010
*mangle
:PREROUTING ACCEPT [2048:322853]
:INPUT ACCEPT [1258:243786]
:FORWARD ACCEPT [722:75533]
:OUTPUT ACCEPT [1194:294205]
:POSTROUTING ACCEPT [2003:381336]
COMMIT
# Completed on Mon Jun 21 19:06:40 2010
# Generated by iptables-save v1.4.4 on Mon Jun 21 19:06:40 2010
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 22 --state NEW -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-net-unreachable
-A INPUT -p tcp -m tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 10000 --state NEW -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Jun 21 19:06:40 2010


может это как-то поможет

Примечание:
Входящие пакеты (INPUT)
Действие Условие Move Добавить
Принимать Если состояние соединения ESTABLISHED,RELATED
Принимать Если протокол ICMP
Принимать Если протокол TCP и порт назначения 22 и состояние соединения NEW
Принимать Если протокол TCP и источник 192.168.1.0/24 и порт назначения 80
Принимать Если протокол TCP и порт назначения 10000 и состояние соединения NEW
Принимать Если входящий интерфейс lo
Принимать Если входящий интерфейс eth1
Reject Всегда

Перенаправляемые пакеты (FORWARD)
Reject Всегда

Исходящие пакеты (OUTPUT)
а тут пусто

какое правило нужно добавить и куда ?


eth0 смотрит в инет eth1 смотрит в локалку, если что-то ещё может помочь найти ответ я могу дать логи и конфиги.

Примечание:
я не очень хорошо понимаю конфиг, я в webminE настраивал. как запретить 3128 через вебмин вместо "iptables -A INPUT -i eth0 -p tcp -m tcp -m state --sport <port sqid> --state NEW -j DROP"

Примечание:
дружище grey благодарю тебя за помощь. скажи я поставил запрет на все подключения из вне кроме ssh по которому я сижу но при

root@server:~# tcpdump -nni eth0 port 3128

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:12:22.406217 IP 111.250.203.176.4774 > 77.95.92.101.3128: Flags [S], seq 3581363621, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.523645 IP 111.250.203.176.3750 > 77.95.92.101.3128: Flags [S], seq 2663746282, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.541548 IP 123.204.114.56.2981 > 77.95.92.101.3128: Flags [S], seq 26881109, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.565766 IP 124.11.146.18.2330 > 77.95.92.101.3128: Flags [S], seq 1674607124, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.585426 IP 118.160.145.82.1044 > 77.95.92.101.3128: Flags [S], seq 855778628, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.632133 IP 124.11.146.18.4714 > 77.95.92.101.3128: Flags [S], seq 3874580501, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.641085 IP 111.250.203.176.3747 > 77.95.92.101.3128: Flags [S], seq 4285783910, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.657348 IP 123.204.114.56.2088 > 77.95.92.101.3128: Flags [S], seq 2024687285, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.659003 IP 123.204.114.56.2985 > 77.95.92.101.3128: Flags [S], seq 3434271348, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.694838 IP 118.160.145.82.1070 > 77.95.92.101.3128: Flags [S], seq 1363207237, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.699797 IP 118.160.157.116.2556 > 77.95.92.101.3128: Flags [S], seq 2327399844, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.699878 IP 118.160.157.116.4175 > 77.95.92.101.3128: Flags [S], seq 19227012, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.739618 IP 124.11.146.18.4790 > 77.95.92.101.3128: Flags [S], seq 2147722463, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.790430 IP 111.250.203.176.1590 > 77.95.92.101.3128: Flags [S], seq 3056213795, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.968557 IP 111.250.203.176.4984 > 77.95.92.101.3128: Flags [S], seq 3035981531, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.981371 IP 123.204.114.56.3033 > 77.95.92.101.3128: Flags [S], seq 2625041385, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:22.997271 IP 123.204.114.56.2296 > 77.95.92.101.3128: Flags [S], seq 3266365346, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:23.027104 IP 118.160.145.82.3273 > 77.95.92.101.3128: Flags [S], seq 1319991109, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:23.052178 IP 123.204.114.56.4129 > 77.95.92.101.3128: Flags [S], seq 730146827, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:23.143559 IP 123.204.114.56.3163 > 77.95.92.101.3128: Flags [S], seq 1308504263, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:23.152530 IP 123.204.114.56.2617 > 77.95.92.101.3128: Flags [S], seq 1155622526, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:23.235402 IP 118.160.145.82.1198 > 77.95.92.101.3128: Flags [S], seq 3653088281, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:23.237130 IP 118.160.145.82.3338 > 77.95.92.101.3128: Flags [S], seq 518205036, win 65535, options [mss 1440,nop,nop,sackOK], length 0
11:12:23.504050 IP 124.11.146.18.1084 > 77.95.92.101.3128: Flags [S], seq 2443633798, win 65535, options [mss 1440,nop,nop,sackOK], length 0

у меня уже моск взрывается я к сожалению плохо знаю и понимаю логику происходящего

Примечание:
дружище ты не в Ростове живёшь с меня пиво. скажи а как мне что куда в первый начальный конфиг вставить чтобы из вне было невозможно подключиться к порту 3128 ? и их не пускало но настроики остались темеже или какието ещё нужно внести изменения? если что мой скайп conan(точка)chief? ибо скоро я не смогу дополнять вопрос
Ответы:
Настраивайте файрвол deny на входящие соединения с инет зоны. Правда если ктото будет долбиться, все равно это будет как входящий трафф.
Спасибо за лог.
А где у вас REJECT на входящие из вне на прокси порт?
чтото наподобие iptables -A INPUT -i eth0 -p tcp -m tcp -m state --dport <port sqid> --state NEW -j DROP
В вебмине не подскажу, но можно просто в консоли набрать iptables -A INPUT -i eth0 -p tcp -m tcp -m state --sport 3128 --state NEW -j DROP
в вебмине правило отобразится.
К тебе ломятся на твой порт чтобы законнектиться, а файрволл их реджектит... это вполне нормальное явление.
Все равно что ты дома, а к тебе в дверь стучатся, а ты не открываешь, а их много.
Единственный минус - входящий канал забивается, но это думаю ненадолго.
Перед COMMIT вставить строку -A INPUT -i eth0 -p tcp -m tcp -m state --sport 3128 --state NEW -j DROP


14 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.