DIRECCION IP DESCONOCIDA

Forums: 

Hola Amigos..!!

Tengo una curiosidad...!!

En mi red, mis direcciones empiezan desde la 192.168.1.1 hasta la 192.168.1.100

Tengo configurado mi servidor proxy con sedmail y MailScanner.

Viendo en el log del squid (/var/log/squid/access.log), muesta una dirección que no tengo en mi red, no sé de donde sale. Lo que veo en el log es:

1175184163.658 1030 192.168.1.65 TCP_MISS/200 485 POST http://207.46.110.55/gateway/gateway.dll? - DIRECT/207.46.110.55 application/x-msn-messenger
1175184166.966 4 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/html
1175184168.286 659 192.168.1.66 TCP_MISS/200 486 POST http://207.46.111.15/gateway/gateway.dll? - DIRECT/207.46.111.15 application/x-msn-messenger
1175184172.658 1023 192.168.1.20 TCP_MISS/200 485 POST http://207.46.111.36/gateway/gateway.dll? - DIRECT/207.46.111.36 application/x-msn-messenger
1175184177.667 2 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/html
1175184178.291 624 192.168.1.20 TCP_MISS/200 486 POST http://207.46.111.15/gateway/gateway.dll? - DIRECT/207.46.111.15 application/x-msn-messenger

La dirección 61.529.152.116 no tengo idea de donde sale, supuestamente estan conectandose a mi proxy para hacer peticiones para navegar o para mails, no teno idea de lo que se trata ni como verficarlo.

Busco algun intruso que haya ingresado a mi servidor en los ultimos días con el comando last, tambien busque en los ficheros secure pero no hay nada.

Si podrian ayudarme

Gracias de antemano,

Dav

ip desconocida

Imagen de acl

Estas permitiendo conexiones externas a tu proxy (o sea, tienes un proxy abierto). Intenta haciendo escuchar a squid unicamente en la interfaz de red interna.

porque no haces que solo las

Imagen de The One

Porque no creas un archivo en el cual le pones las ips de las maquinas de tu red interna y un proxy transparente, así solo las ips que comentes podrán utilizar tu proxy y nadie más (ver aqui), y también un firewall con políticas DROP para mas seguridad y evitar cualquier molestia, porque a lo mejor tu servidor esta expuesto a cualquier ataque.

Hola: Segun los logs que

Imagen de Root Bit

Hola:

Segun los logs que envias tu proxy no esta abierto:

1175184177.667 2 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/htm

claramente se indica TCP_DENIED ante la peticion que quizo realizar esa IP, es decir nego la peticion y no permitio el acceso a traves de tu proxy lo cual esta bien.

El hecho que esta IP aparezca intentando realizar una peticion a tu proxy, no necesariamente implica que se haya ingresado a tu servidor. Puesto que el intento simplemente lo realizo desde su maquina apuntando a la IP de tu proxy seguramente con la intencion de verificar si tenias un OPEN PROXY.

Solo para que estes seguro revisa que en tu squid.conf solo se esten permitiendo las acls de tu red interna y que al final tengas esta directiva

http_access deny all

Ademas sigue los consejos del resto de personas, establece un firewall con politicas DROP y unicamente abre los puertos estrictamente necesarios.

There are only 10 types people in the world:
Those who understand binary and those who don't

There are only 10 types people in the world:
Those who understand binary and those who don't

Exacto, qué bueno que

Imagen de antares

Exacto, qué bueno que leiste lo del TCP_DENIED, yo tampoco lo leí, eso pasa por leer entre líneas.

Por lo visto la configuración del squid ya está, falta cerrar el puerto en el firewall para la wan y listo.

Saludos.

Saludos,

antares

Asi es esta denegada la

Imagen de damage

Asi es esta denegada la peticiòn, pero si esta persona hace una scaneo de tu red verà cuales es el rango de tu red y se cambiara de ip, lo que con lleva a ip duplicadas, clientes caidos, etc. Te recomiendo usar ip neigh y asi controlas mejor tu acceso a la red.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

El que esta intentando

Imagen de The One

El que esta intentando conectarse a tu proxy a lo mejor pudo haber hecho un scan de puertos, puede que este intentando ingresar a tu sistema tambien, puede ser que tengas puertos comprometedores abiertos, por eso mejor cierra todo y da acceso solo a los puertos que necesites y a tu LAN y al usuario principa l para acceso a tu servidor, claro que es algo exagerado mi opinión pero puede ser posible también.

"La confianza en sí mismo es el primer secreto del éxito"

Páginas