URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6244
[ Назад ]

Исходное сообщение
"squid+бан портов"
Отправлено dixit , 20-Ноя-09 14:13

День добрый.
Посоветуйте пжл.
Red Hat Enterprise Linux AS release 4
Squid Cache: Version 2.5.STABLE14, авторизация через АД
Хочу провести аудит портов на которые ходят юзера через squid и забанить ненужные. Забанить хочу средставми прокси.
Как правильно определить все порты?
И какие порты считать ненужными, а то только интуитивно представляю:).

Содержание

squid+бан портов,ipmanyak, 17:37 , 20-Ноя-09
- squid+бан портов,dixit, 18:36 , 20-Ноя-09
  - squid+бан портов,local, 18:47 , 20-Ноя-09
  - squid+бан портов,BulgakowI, 19:04 , 20-Ноя-09
    - squid+бан портов,dixit, 11:35 , 24-Ноя-09
      - squid+бан портов,big, 18:51 , 11-Дек-09

Сообщения в этом обсуждении

"squid+бан портов"
Отправлено ipmanyak , 20-Ноя-09 17:37

>День добрый.
>Посоветуйте пжл.
>Red Hat Enterprise Linux AS release 4
>Squid Cache: Version 2.5.STABLE14, авторизация через АД
>
>Хочу провести аудит портов на которые ходят юзера через squid и забанить
>ненужные. Забанить хочу средставми прокси.
>Как правильно определить все порты?
>И какие порты считать ненужными, а то только интуитивно представляю:).
Если ты сам не разрешал спецпорты для метода Connect, то портов, юзаемых сквидом не так много. По дефолту где-то так:
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
Я не думаю, что твои юзеры в сквиде юзают нестандартные порты, кроме как 21, 80 и 443. Сквид это HTTP прокси и более ничего, через него проги не погоняешь! Вывод - банить порты в сквиде нечего. Если юзерские проги и выходят в инет, то явно мимо прокси сквида, потому смотри правила фаервола iptables и отрубай Nat/Masqurade.

"squid+бан портов"
Отправлено dixit , 20-Ноя-09 18:36

<Если ты сам не разрешал спецпорты для метода Connect, то портов, юзаемых сквидом не так <много. По дефолту где-то так:
А что ж тогда это за порты:
$netstat -n
tcp        0      0 192.168.4.128:8080          192.168.250.52:3629         CLOSE_WAIT
tcp        0      0 192.168.4.128:8080          192.168.57.89:3715          TIME_WAIT
tcp        0      0 192.168.4.128:8080          192.168.13.21:4091          TIME_WAIT
tcp        0      0 192.168.4.128:8080          192.168.53.77:1179          ESTABLISHED
tcp        0      0 192.168.4.128:8080          192.168.67.113:1745         TIME_WAIT
tcp        0      0 192.168.4.128:8080          192.168.24.50:4553          TIME_WAIT
tcp        0      0 192.168.4.128:8080          192.168.3.45:4557           TIME_WAIT
tcp        0      0 192.168.4.128:8080          192.168.57.39:4861          ESTABLISHED
192.168.4.128:8080 - мой прокси

"squid+бан портов"
Отправлено local , 20-Ноя-09 18:47

Простите, Вы про порты со стороны клиента которые спрашиваете?

"squid+бан портов"
Отправлено BulgakowI , 20-Ноя-09 19:04

>А что ж тогда это за порты:
>
>$netstat -n
>tcp 0 0 192.168.4.128:8080 192.168.250.52:3629
192.168.4.128:8080 - твой прокси
второй адрес и порт клиента с которого пришел запрос к проски-серверу.
Обычное IP соединение - по нему данные
между браузером (или чем угодно) и прокси ходят.

"squid+бан портов"
Отправлено dixit , 24-Ноя-09 11:35

Я прошу прощение. Сам не разобрался и не правильно задал вопрос.
Если я правильно понял, то пользователи ходят все на мой сквид, в данном случае 192.168.4.128 и на порт 8080. Все, другого не дано.
Тогда, судя из конфига:
acl SSL_ports port 563 8143 1533 1950 81 82 8443
acl Safe_ports port 80  8001    8081    # http
acl Safe_ports port 21         # ftp
acl Safe_ports port 443 563 5999        # https, snews
acl Safe_ports port 210                # wais
acl Safe_ports port 1025-5189   # unregistered ports
acl Safe_ports port 5191-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 5190       # ICQ
acl Safe_ports port 777         # multiling http
acl Safe_ports port 1533        # multiling http
acl Safe_ports port 1950       # http Galickiy
acl Safe_ports port 7777        # multiling http
acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports Safe_ports
уже сама прокся, судя из запросов пользователей посылает их(запросы) на порты, которые не запрещены в этом списке.
Так вот, мне б хотелось вычислить эти порты, которые использует сквид, пересылая запросы пользователей. Вопрос как это сделать?

"squid+бан портов"
Отправлено big , 11-Дек-09 18:51

>[оверквотинг удален]
>acl Safe_ports port 7777 #
>multiling http
>
>acl CONNECT method CONNECT
>http_access allow CONNECT SSL_ports Safe_ports
>
>уже сама прокся, судя из запросов пользователей посылает их(запросы) на порты, которые
>не запрещены в этом списке.
>Так вот, мне б хотелось вычислить эти порты, которые использует сквид, пересылая
>запросы пользователей. Вопрос как это сделать?
Почитай что нибудь в гугле про http протокол. клиенты конектятся на проксю через браузер. ничего аномального у тебя не происходит. порты закрой все не нужные которые направляются наружу, тем пакетным фильтром которым пользуешся.