forum.opennet.ru - "squid и 25 порт..." (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"squid и 25 порт..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"squid и 25 порт..."
Сообщение от A Clockwork Orange on 18-Окт-02, 16:25 (MSK)
1034937124.194 416 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - NONE/- - 1034937223.834 4 216.144.230.55 TCP_DENIED/403 985 CONNECT 207.115.63.55:25 - NONE/- - 1034937225.133 11 216.144.230.55 TCP_DENIED/403 983 CONNECT 63.226.138.3:25 - NONE/- - 1034937227.102 3 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - NONE/- - 1034937251.253 12 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - NONE/- - Вот такие выписки из лога /var/log/squid/access.log 1. В фаерволе стоит запрет на коннект снаружи на сквид, ipfw show показывает что коннекта не было. Как такое может быть? 2. Каким образом чужак пытается отправить через сквид запрос по 25 порту? В squid.conf такого порта нет. 3. TCP_DENIED срабоатывывет наверное потому что в squid.conf указан acl каким хостам можно.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: squid и 25 порт..., Ilia, 22:30 , 20-Окт-02, (1)
- RE: squid и 25 порт..., A Clockwork Orange, 17:42 , 21-Окт-02, (2)
  - RE: squid и 25 порт..., wwwuser, 18:16 , 21-Окт-02, (3)
    - RE: squid и 25 порт..., A Clockwork Orange, 19:53 , 21-Окт-02, (4)
      - RE: squid и 25 порт..., Ilia, 13:19 , 22-Окт-02, (5)
        
        RE: squid и 25 порт..., Ilia, 13:22 , 22-Окт-02, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: squid и 25 порт..."

Сообщение от Ilia on 20-Окт-02, 22:30  (MSK)

>1034937124.194    416 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - NONE/-
>-
>1034937223.834      4 216.144.230.55 TCP_DENIED/403 985 CONNECT 207.115.63.55:25
>- NONE/- -
>1034937225.133     11 216.144.230.55 TCP_DENIED/403 983 CONNECT 63.226.138.3:25 -
>NONE/- -
>1034937227.102      3 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25
>- NONE/- -
>1034937251.253     12 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 -
>NONE/- -
>
>Вот такие выписки из лога /var/log/squid/access.log
>1. В фаерволе стоит запрет на коннект снаружи на сквид, ipfw show
>показывает что коннекта не было. Как такое может быть?
Этого не знаю. Надо смотреть. Вероятно, не все так просто и ладно с твоим файрволлом.
>2. Каким образом чужак пытается отправить через сквид запрос по 25 порту? В squid.conf такого порта нет.
>3. TCP_DENIED  срабоатывывет наверное потому что в squid.conf указан acl каким
>хостам можно.
Или поэтому, или из-за acl на метод CONNECT. Обрати внимание на эту часть конфига.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: squid и 25 порт..."

Сообщение от A Clockwork Orange on 21-Окт-02, 17:42  (MSK)

>>1034937124.194    416 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - NONE/-
>>-
>>1034937223.834      4 216.144.230.55 TCP_DENIED/403 985 CONNECT 207.115.63.55:25
>>- NONE/- -
>>1034937225.133     11 216.144.230.55 TCP_DENIED/403 983 CONNECT 63.226.138.3:25 -
>>NONE/- -
>>1034937227.102      3 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25
>>- NONE/- -
>>1034937251.253     12 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 -
>>NONE/- -
>>
>>Вот такие выписки из лога /var/log/squid/access.log
>>1. В фаерволе стоит запрет на коннект снаружи на сквид, ipfw show
>>показывает что коннекта не было. Как такое может быть?
>
>Этого не знаю. Надо смотреть. Вероятно, не все так просто и ладно
>с твоим файрволлом.
>
>>2. Каким образом чужак пытается отправить через сквид запрос по 25 порту? В squid.conf такого порта нет.
>>3. TCP_DENIED  срабоатывывет наверное потому что в squid.conf указан acl каким
>>хостам можно.
>
>Или поэтому, или из-за acl на метод CONNECT. Обрати внимание на эту
>часть конфига.
А что с  CONNECT где об этом можно прочитать?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: squid и 25 порт..."

Сообщение от wwwuser on 21-Окт-02, 18:16  (MSK)

ACL не причем, это попытки рассылать спам через твой прокси с использованием метода CONNECT, а он их рубит.
У них это может и получилось бы, если твой squid позволял кому угодно делать через себя такие запросы.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: squid и 25 порт..."

Сообщение от A Clockwork Orange on 21-Окт-02, 19:53  (MSK)

>ACL не причем, это попытки рассылать спам через твой прокси с использованием
>метода CONNECT, а он их рубит.
>У них это может и получилось бы, если твой squid позволял кому
>угодно делать через себя такие запросы.
1. Вот хочеться узнать, что есть метод CONNECT
2. Как выполняются ACL ? до первого совпадения или как?
3. В ACL стоят разрешниея с какой сети можно обращаться к squid.
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 192.168.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21 20       # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access allow allowed_hosts
http_access deny !Safe_ports
http_access deny all

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: squid и 25 порт..."

Сообщение от Ilia on 22-Окт-02, 13:19  (MSK)

>>ACL не причем, это попытки рассылать спам через твой прокси с использованием
>>метода CONNECT, а он их рубит.
>>У них это может и получилось бы, если твой squid позволял кому
>>угодно делать через себя такие запросы.
>
>1. Вот хочеться узнать, что есть метод CONNECT
>2. Как выполняются ACL ? до первого совпадения или как?
>3. В ACL стоят разрешниея с какой сети можно обращаться к squid.
>
>acl all src 0.0.0.0/0.0.0.0
>acl allowed_hosts src 192.168.1.0/255.255.255.0
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563
>acl Safe_ports port 80
> # http
>acl Safe_ports port 21 20       #
>ftp
>acl Safe_ports port 443 563     # https, snews
>
>acl Safe_ports port 70
> # gopher
>acl Safe_ports port 210
># wais
>acl Safe_ports port 1025-65535  # unregistered ports
>acl Safe_ports port 280
># http-mgmt
>acl Safe_ports port 488
># gss-http
>acl Safe_ports port 591
># filemaker
>acl Safe_ports port 777
># multiling http
>acl CONNECT method CONNECT
>
>http_access allow localhost
>http_access allow allowed_hosts
>http_access deny !Safe_ports
>http_access deny all
А вот такого у тебя там разве нет?
http_access deny CONNECT !SSL_ports
Если нет, то надо поставить. Но наверное есть, просто ты не заметил.
Смысл этой записи, по-моему, понятен без объяснений.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: squid и 25 порт..."

Сообщение от Ilia on 22-Окт-02, 13:22  (MSK)

>>http_access allow localhost
>>http_access allow allowed_hosts
>>http_access deny !Safe_ports
>>http_access deny all
>
>А вот такого у тебя там разве нет?
>http_access deny CONNECT !SSL_ports
>Если нет, то надо поставить. Но наверное есть, просто ты не заметил.
>
>Смысл этой записи, по-моему, понятен без объяснений.
Причем поставить перед http_access deny all потому что acl выполняются до первого совпадения => порядок их применения важен.
Как у тебя клиенты по SSL ходят с таким конфигом, а?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: squid и 25 порт..."
Сообщение от Ilia on 20-Окт-02, 22:30 (MSK)
>1034937124.194 416 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - NONE/- >- >1034937223.834 4 216.144.230.55 TCP_DENIED/403 985 CONNECT 207.115.63.55:25 >- NONE/- - >1034937225.133 11 216.144.230.55 TCP_DENIED/403 983 CONNECT 63.226.138.3:25 - >NONE/- - >1034937227.102 3 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 >- NONE/- - >1034937251.253 12 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - >NONE/- - > >Вот такие выписки из лога /var/log/squid/access.log >1. В фаерволе стоит запрет на коннект снаружи на сквид, ipfw show >показывает что коннекта не было. Как такое может быть? Этого не знаю. Надо смотреть. Вероятно, не все так просто и ладно с твоим файрволлом. >2. Каким образом чужак пытается отправить через сквид запрос по 25 порту? В squid.conf такого порта нет. >3. TCP_DENIED срабоатывывет наверное потому что в squid.conf указан acl каким >хостам можно. Или поэтому, или из-за acl на метод CONNECT. Обрати внимание на эту часть конфига.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: squid и 25 порт..."
	Сообщение от A Clockwork Orange on 21-Окт-02, 17:42 (MSK)
	>>1034937124.194 416 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - NONE/- >>- >>1034937223.834 4 216.144.230.55 TCP_DENIED/403 985 CONNECT 207.115.63.55:25 >>- NONE/- - >>1034937225.133 11 216.144.230.55 TCP_DENIED/403 983 CONNECT 63.226.138.3:25 - >>NONE/- - >>1034937227.102 3 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 >>- NONE/- - >>1034937251.253 12 216.144.230.55 TCP_DENIED/403 985 CONNECT 65.54.252.230:25 - >>NONE/- - >> >>Вот такие выписки из лога /var/log/squid/access.log >>1. В фаерволе стоит запрет на коннект снаружи на сквид, ipfw show >>показывает что коннекта не было. Как такое может быть? > >Этого не знаю. Надо смотреть. Вероятно, не все так просто и ладно >с твоим файрволлом. > >>2. Каким образом чужак пытается отправить через сквид запрос по 25 порту? В squid.conf такого порта нет. >>3. TCP_DENIED срабоатывывет наверное потому что в squid.conf указан acl каким >>хостам можно. > >Или поэтому, или из-за acl на метод CONNECT. Обрати внимание на эту >часть конфига. А что с CONNECT где об этом можно прочитать?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: squid и 25 порт..."
	Сообщение от wwwuser on 21-Окт-02, 18:16 (MSK)
	ACL не причем, это попытки рассылать спам через твой прокси с использованием метода CONNECT, а он их рубит. У них это может и получилось бы, если твой squid позволял кому угодно делать через себя такие запросы.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: squid и 25 порт..."
	Сообщение от A Clockwork Orange on 21-Окт-02, 19:53 (MSK)
	>ACL не причем, это попытки рассылать спам через твой прокси с использованием >метода CONNECT, а он их рубит. >У них это может и получилось бы, если твой squid позволял кому >угодно делать через себя такие запросы. 1. Вот хочеться узнать, что есть метод CONNECT 2. Как выполняются ACL ? до первого совпадения или как? 3. В ACL стоят разрешниея с какой сети можно обращаться к squid. acl all src 0.0.0.0/0.0.0.0 acl allowed_hosts src 192.168.1.0/255.255.255.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 20 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow localhost http_access allow allowed_hosts http_access deny !Safe_ports http_access deny all
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: squid и 25 порт..."
	Сообщение от Ilia on 22-Окт-02, 13:19 (MSK)
	>>ACL не причем, это попытки рассылать спам через твой прокси с использованием >>метода CONNECT, а он их рубит. >>У них это может и получилось бы, если твой squid позволял кому >>угодно делать через себя такие запросы. > >1. Вот хочеться узнать, что есть метод CONNECT >2. Как выполняются ACL ? до первого совпадения или как? >3. В ACL стоят разрешниея с какой сети можно обращаться к squid. > >acl all src 0.0.0.0/0.0.0.0 >acl allowed_hosts src 192.168.1.0/255.255.255.0 >acl manager proto cache_object >acl localhost src 127.0.0.1/255.255.255.255 >acl SSL_ports port 443 563 >acl Safe_ports port 80 > # http >acl Safe_ports port 21 20 # >ftp >acl Safe_ports port 443 563 # https, snews > >acl Safe_ports port 70 > # gopher >acl Safe_ports port 210 ># wais >acl Safe_ports port 1025-65535 # unregistered ports >acl Safe_ports port 280 ># http-mgmt >acl Safe_ports port 488 ># gss-http >acl Safe_ports port 591 ># filemaker >acl Safe_ports port 777 ># multiling http >acl CONNECT method CONNECT > >http_access allow localhost >http_access allow allowed_hosts >http_access deny !Safe_ports >http_access deny all А вот такого у тебя там разве нет? http_access deny CONNECT !SSL_ports Если нет, то надо поставить. Но наверное есть, просто ты не заметил. Смысл этой записи, по-моему, понятен без объяснений.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: squid и 25 порт..."
	Сообщение от Ilia on 22-Окт-02, 13:22 (MSK)
	>>http_access allow localhost >>http_access allow allowed_hosts >>http_access deny !Safe_ports >>http_access deny all > >А вот такого у тебя там разве нет? >http_access deny CONNECT !SSL_ports >Если нет, то надо поставить. Но наверное есть, просто ты не заметил. > >Смысл этой записи, по-моему, понятен без объяснений. Причем поставить перед http_access deny all потому что acl выполняются до первого совпадения => порядок их применения важен. Как у тебя клиенты по SSL ходят с таким конфигом, а?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх