Здравствуйте,
На сервере FreeBSD 5.3 (Firewall PF), появились неизвестные порты, запускаемые squid(ом)!!!
Установлены Squid, Apache, Openvpn.
netstat –na выдает
tcp4 0 0 127.0.0.1.3128 *.* LISTEN
tcp4 0 0 *.80 *.* LISTEN
tcp4 0 0 *.443 *.* LISTEN
tcp4 0 0 *.22 *.* LISTEN
tcp6 0 0 *.22 *.* LISTEN
udp4 0 0 *.3130 *.*
udp4 0 0 *.56986 *.*
udp4 0 0 *.1194 *.*
udp4 0 0 *.514 *.*
udp6 0 0 *.514 *.*
В sockstat также имеется строчка относящаяся к порту 56986,USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
squid squid 4093 8 udp4 *:56986 *:*При перезапуске Сквида этот порт меняется, были порты (55394, 54225 и т.д.)
Если Сквид не запущен и все идет через NAT, то эти порты не появляются.
Некоторое время снаружи был доступен Apache, в логах ничего подозрительного нет.
Сейчас снаружи на сервер все запрещено, кроме openvpn(а) который висит на 1194 порту.В Интернете по этим портам нашел только эту информацию.
http://www.seifried.org/security/ports/55000/55394.html
Непонятно почему этот порт работает только при Squide?
Где проблема, на сервере и на рабочих станциях???Pf.conf
ExtIF="rl1"
PrivIF="rl0"
ExtIP="XXX.XXX.XXX.XXX"
PrivNet="192.168.0.0/24"
NoGoIP="{ 192.168.0.0/16, 127.0.0.0/8, 10.0.0.0/8, 0.0.0.0/8, 169.254.0.0/16, 204.152.64.0/23, 224.0.0.0/3 }"
scrub in all
rdr on $PrivIF proto tcp from 192.168.0.0/24 to any port 80 -> 127.0.0.1 port 3128
rdr on $PrivIF proto tcp from 192.168.0.0/24 to any port 3128 -> 127.0.0.1 port 3128
nat on $ExtIF from $PrivNet to any -> $ExtIP
block in quick inet6 all
block out quick inet6 all
pass in quick on lo0 all
pass out quick on lo0 all
block in quick on $ExtIF from $NoGoIP to any
block out quick on $ExtIF from any to $NoGoIP
pass in quick on $ExtIF proto udp from any to any port 1194 keep state
block in on $ExtIF proto tcp from any to any
pass out on $ExtIF inet proto tcp all flags S/SA modulate state
pass out on $ExtIF inet proto { udp, icmp } all keep state
squid.conf
http_port 127.0.0.1:3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /var/local/squid/cache 100 16 256
cache_access_log /var/local/squid/logs/access.log
cache_log /var/local/squid/logs/cache.log
cache_store_log /var/local/squid/logs/store.log
pid_filename /var/local/squid/logs/squid.pid
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
redirect_children 15
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: &n... 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
acl BOSS src 192.168.0.5
acl LocalNet src 192.168.0.6-192.168.0.254
http_access allow BOSS
http_access allow LocalNet
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
delay_pools 2
delay_class 1 2
delay_class 2 1
delay_parameters 1 -1/-1 5000/15000
delay_parameters 2 100000/100000
delay_access 1 allow LocalNet
delay_access 2 allow BOSS
delay_access 1 deny all
delay_access 2 deny all
coredump_dir /var/local/squid/cache
httpd_accel_host virtual
Товарисчи, а не может это быть динамический порт, кот появляется когда сквид устанавливает коннект скемто снаружи. Удалённый хост работает по порту 80, а на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему выдается динамический порт при подключении к сквиду...
>на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему
>выдается динамический порт при подключении к сквиду...
сдается мне, что у всех клиентов будет один и тот же порт, на котором и слушает сквид, типа 3128
>>на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему
>>выдается динамический порт при подключении к сквиду...
>сдается мне, что у всех клиентов будет один и тот же порт,
>на котором и слушает сквид, типа 3128
Пойми, в любом TCP/IP соединении у тебя с 2-х сторон порты присутствуют. Дык вот 3128 - со стороны сквида, а у клиента динамический выдаётся.
>Пойми, в любом TCP/IP соединении у тебя с 2-х сторон порты присутствуют.
>Дык вот 3128 - со стороны сквида, а у клиента динамический
>выдаётся.
я понял. но в данном случае речь идет о портах 51тысячасчемто именно со стороны сервера.
>Товарисчи, а не может это быть динамический порт, кот появляется когда сквид
>устанавливает коннект скемто снаружи. Удалённый хост работает по порту 80, а
>на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему
>выдается динамический порт при подключении к сквиду...Хотелось бы надеется, но к сожалению тут написано что это похоже на какую-то
бяку.
http://www.seifried.org/security/ports/55000/55394.htmlПерезапускал Squid несколько раз, появляются разные порты, некоторые из этих портов имеют тоже описание на этом сайте!!!
squid открывает udp-порт выше 1023 для dns запросов. Попробуйте запустить сниффер на этот порт и сделать запрос с клиента.