URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 57399
[ Назад ]

Исходное сообщение
"Squid и неизвестные порты!"

Отправлено Sanchez , 15-Июн-05 14:51 
Здравствуйте,
На сервере FreeBSD 5.3 (Firewall PF), появились неизвестные порты, запускаемые squid(ом)!!!
Установлены Squid, Apache, Openvpn.
netstat –na выдает
tcp4       0      0  127.0.0.1.3128  *.*                    LISTEN
tcp4       0      0  *.80                   *.*                    LISTEN
tcp4       0      0  *.443                 *.*                    LISTEN
tcp4       0      0  *.22                   *.*                    LISTEN
tcp6       0      0  *.22                   *.*                    LISTEN
udp4      0      0  *.3130               *.*
udp4      0      0  *.56986             *.*
udp4      0      0  *.1194               *.*
udp4      0      0  *.514                 *.*
udp6      0      0  *.514                 *.*
  
В sockstat также имеется строчка относящаяся к порту 56986,

USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
squid            squid           4093  8      udp4               *:56986                                *:*

При перезапуске Сквида этот порт меняется, были порты (55394, 54225 и т.д.)
Если Сквид не запущен и все идет через NAT, то эти порты не появляются.
Некоторое время снаружи был доступен Apache, в логах ничего подозрительного нет.
Сейчас снаружи на сервер все запрещено, кроме openvpn(а) который висит на 1194 порту.

В Интернете по этим портам нашел только эту информацию.
http://www.seifried.org/security/ports/55000/55394.html
Непонятно почему этот порт работает только при Squide?
Где проблема, на сервере и на рабочих станциях???

Pf.conf

ExtIF="rl1"
PrivIF="rl0"
ExtIP="XXX.XXX.XXX.XXX"
PrivNet="192.168.0.0/24"
NoGoIP="{ 192.168.0.0/16, 127.0.0.0/8, 10.0.0.0/8, 0.0.0.0/8, 169.254.0.0/16, 204.152.64.0/23, 224.0.0.0/3 }"
scrub in all
rdr on $PrivIF proto tcp from 192.168.0.0/24 to any port 80 -> 127.0.0.1 port 3128
rdr on $PrivIF proto tcp from 192.168.0.0/24 to any port 3128 -> 127.0.0.1 port 3128
nat on $ExtIF from $PrivNet to any -> $ExtIP
block in quick inet6 all
block out quick inet6 all
pass in quick on lo0 all
pass out quick on lo0 all
block in quick on $ExtIF from $NoGoIP to any
block out quick on $ExtIF from any to $NoGoIP
pass in quick on $ExtIF proto udp from any to any port 1194 keep state
block in on $ExtIF proto tcp from any to any
pass out on $ExtIF inet proto tcp all flags S/SA modulate state
pass out on $ExtIF inet proto { udp, icmp } all keep state


squid.conf
http_port 127.0.0.1:3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /var/local/squid/cache 100 16 256
cache_access_log /var/local/squid/logs/access.log
cache_log /var/local/squid/logs/cache.log
cache_store_log /var/local/squid/logs/store.log
pid_filename /var/local/squid/logs/squid.pid
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
redirect_children 15
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
acl BOSS src 192.168.0.5
acl LocalNet src 192.168.0.6-192.168.0.254
http_access allow BOSS
http_access allow LocalNet
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
delay_pools 2
delay_class 1 2
delay_class 2 1
delay_parameters 1 -1/-1 5000/15000
delay_parameters 2 100000/100000
delay_access 1 allow LocalNet
delay_access 2 allow BOSS
delay_access 1 deny all
delay_access 2 deny all
coredump_dir /var/local/squid/cache
httpd_accel_host virtual


Содержание

Сообщения в этом обсуждении
"Squid и неизвестные порты!"
Отправлено koikto , 15-Июн-05 15:09 
Товарисчи, а не может это быть динамический порт, кот появляется когда сквид устанавливает коннект скемто снаружи. Удалённый хост работает по порту 80, а на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему выдается динамический порт при подключении к сквиду...

"Squid и неизвестные порты!"
Отправлено Дениска. , 15-Июн-05 15:20 
>на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему
>выдается динамический порт при подключении к сквиду...
сдается мне, что у всех клиентов будет один и тот же порт, на котором и слушает сквид, типа 3128


"Squid и неизвестные порты!"
Отправлено koikto , 15-Июн-05 15:36 
>>на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему
>>выдается динамический порт при подключении к сквиду...
>сдается мне, что у всех клиентов будет один и тот же порт,
>на котором и слушает сквид, типа 3128


Пойми, в любом TCP/IP соединении у тебя с 2-х сторон порты присутствуют. Дык вот 3128 - со стороны сквида, а у клиента динамический выдаётся.


"Squid и неизвестные порты!"
Отправлено Дениска. , 15-Июн-05 16:06 
>Пойми, в любом TCP/IP соединении у тебя с 2-х сторон порты присутствуют.
>Дык вот 3128 - со стороны сквида, а у клиента динамический
>выдаётся.
я понял. но в данном случае речь идет о портах 51тысячасчемто именно со стороны сервера.



"Squid и неизвестные порты!"
Отправлено Sanchez , 15-Июн-05 15:29 
>Товарисчи, а не может это быть динамический порт, кот появляется когда сквид
>устанавливает коннект скемто снаружи. Удалённый хост работает по порту 80, а
>на сквиде динамика! Как эксперимент: попробуй на клиенте посмотреть, какой ему
>выдается динамический порт при подключении к сквиду...

Хотелось бы надеется, но к сожалению тут написано что это похоже на какую-то
бяку.
http://www.seifried.org/security/ports/55000/55394.html

Перезапускал Squid несколько раз, появляются разные порты, некоторые из этих портов имеют тоже описание на этом сайте!!!


"Squid и неизвестные порты!"
Отправлено jonatan , 15-Июн-05 15:42 
squid открывает udp-порт выше 1023 для dns запросов. Попробуйте запустить сниффер на этот порт и сделать запрос с клиента.