Squid me deniega algunas ip externa pero siguen consumiendo trafico

Desconectado kenedycruz14

  • Newbie
  • *
  • Mensajes: 13
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Buenos Dias
ya use el boton de buscar pero no encontre un problema parecido al que tengo. Resulta que en mi server squid en la ultima access restriction tengo el deny all ¡localnet pero lo mas curioso del caso es que al dia siguiente en el sarg aparece unas direcciones ip externas que por supuesto no son de localnet consumiendo 11gb o hasta mas. y en el iptables bloqueo diariamente direcciones pero se que es algo imposible de bloquear toda la red manualmente. mi access log siempre me dice que esta denegando unas ip externas pero al dia siguiente esas mismas ip me consumieron 11gb o mas aqui una muestra de mi acces.log squid3

473001588.384      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.427      0 151.80.204.172 TCP_DENIED/403 3456 CONNECT search.yahoo.com:443 - NONE/- text/html
1473001588.441      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001588.475      0 45.32.87.137 TCP_DENIED/403 3883 GET http://www.sasuga.org/marche/bbs/yybbs.cgi? - NONE/- text/html
1473001588.497      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001588.500      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.504      0 122.114.99.73 TCP_DENIED/403 0 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001588.506      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.524      0 155.94.224.227 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001588.683      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001588.768      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001588.835      0 218.93.233.122 TCP_DENIED/403 3707 GET http://www.jlsf8.com/ - NONE/- text/html
1473001588.930      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001588.961      0 198.55.114.162 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.021      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.066      0 198.55.114.163 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.119      1 27.187.97.147 TCP_DENIED/403 3782 GET http://app.tuwan.com/comment2/api/vote.ashx? - NONE/- text/html
1473001589.138      1 114.112.26.184 TCP_DENIED/403 6361 GET http://www.guoyuangy.com/ - NONE/- text/html
1473001589.142      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.161    200 46.161.9.34 TCP_DENIED/403 3634 POST http://work.a-poster.info:25000/ - NONE/- text/html
1473001589.208      0 155.94.224.223 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.261      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001589.297      0 91.121.209.229 TCP_DENIED/403 3523 GET http://www.proxy-listen.de/azenv.php - NONE/- text/html
1473001589.375      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001589.392      0 198.55.114.232 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.457      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.599      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.600      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.611      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.682      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001589.745      0 84.200.27.215 TCP_DENIED/403 3605 CONNECT authserver.mojang.com:443 - NONE/- text/html
1473001589.779      0 155.94.224.222 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.861      0 104.245.102.166 TCP_DENIED/403 3851 GET http://tjbilon.com/plus/guestbook.php - NONE/- text/html
1473001589.923      0 122.114.99.73 TCP_DENIED/403 4130 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001589.977      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001589.982      0 139.129.15.18 TCP_DENIED/403 3996 POST http://demo.b2ctui.com/web/index.php? - NONE/- text/html

    anteriormente el problema era peor se mejoro mas despues que aplique la regla en el squid de deny all. ante todo muchas gracias ante todo muchas gracias de antemano saudos desde venezuela

Desconectado firecold

  • Moderador
  • *
  • Mensajes: 3444
  • Ubicación: Guatemala
  • Todo lo puedo en Cristo que me fortalece.
    • Ver Perfil
  • Me Gusta: 30
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #1 : septiembre 06, 2016, 03:17:05 pm »
Amigo nos puedes mostrar tus restricciones y reglas en squid, osea tu squid.conf y tus redtricciones en iptables, para poderte ayudar y recomendarte algo mas fuerte, Saludos

Desconectado kenedycruz14

  • Newbie
  • *
  • Mensajes: 13
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #2 : septiembre 07, 2016, 12:15:25 am »
gracias firecold aqui esta el squid.conf
Código:
  1. */.[0-9]*/.[0-9]*/.[0-9]*
  2. acl regexips url_regex [0-9]+.[0-9]+.[0-9]+.[0-9]+
  3. acl todalared src 0.0.0.0
  4. acl Direcionesip urlpath_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
  5. acl URL_blockext url_regex "/etc/squid3/URLblockext"
  6. acl AT_admin arp 74:27:EA:F6:9F:AF
  7.  
  8.  
  9.  
  10. http_access allow AT_admin
  11. http_access allow AT_sinrestrincciones
  12. http_access deny CONNECT !SSL_ports
  13. http_access allow AT_accesototal !URLprohibido !URLtorrent !URLmega
  14. http_access deny SSL_ports !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa !AT_sinrestrincciones !AT_sinfacebook !AT_accesototal !AT_prensa
  15. http_access allow localhost
  16. http_access deny macblock
  17. http_access allow macfacebook !URLprohibido !URLyoutube !URLtorrent !URLmega
  18. http_access allow soporteTecnico !URLprohibido !URLtorrent
  19. http_access allow maclibres !redesSociales !URLprohibido !URLtorrent !URLmega
  20. http_access allow AT_prensa !redesSociales !deny_rep_mime_flashvideo !deny_rep_mime_shockwave !URLtorrent
  21. http_access allow AT_sinfacebook !URLprohibido !URLfacebook !URLtorrent !URLmega
  22. http_reply_access deny fails !maclibres !jefes !macfacebook !soporteTecnico !permitidas
  23. http_access allow AT_sinyoutube !URLprohibido !URLyoutube !URLtorrent !URLmega
  24. http_reply_access deny fails2 !maclibres !jefes !macfacebook !soporteTecnico !permitidas
  25. http_access deny msn_messenger !permitidas
  26. http_reply_access deny x-type !maclibres !permitidas !jefes !macfacebook !soporteTecnico !permitidas
  27. http_access deny deny_rep_mime_flashvideo deny_rep_mime_shockwave
  28. http_reply_access deny x-type2 !maclibres !permitidas !jefes !macfacebook !soporteTecnico !permitidas
  29. http_access deny useragentq !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
  30. http_access deny fails !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
  31. http_access deny fails2 !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
  32. http_access deny useragent !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
  33. http_access deny redesSociales !permitidas
  34. http_access deny x-type !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
  35. http_access deny blacklist !permitidas !jefes
  36. http_access deny x-type2 !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
  37. http_access deny listaextensiones !permitidas
  38. http_access deny ivss !ivss_paginas
  39. http_access deny all !localnet !AT_admin
  40. http_access deny Direcionesip !localnet !AT_admin
  41. ]
quite algunas otras cosas para que no se hiciera tan largo nota que el ultimo es deny all menos localnet pero igual siguen apareciendo ip extrañas
aqui el firewall


Código:
  1. $IPTABLES -A INPUT -i lo -j ACCEPT
  2. $IPTABLES -A OUTPUT -o lo -j ACCEPT
  3.  
  4.  
  5. #*************************************************************#
  6. #*************************************************************#
  7. #                       REGLAS DE INPUT                       #
  8. #*************************************************************#
  9. #*************************************************************#
  10. #PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
  11. $IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT
  12.  
  13. #PERMITIR PINGS DESDE INTERNET
  14. $IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT
  15.  
  16. #PERMITIR EL USO DEL SERVIDOR DNS
  17. $IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
  18. $IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
  19. $IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
  20. $IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
  21.  
  22. #ACCESO A SSH DESDE LA RED LOCAL
  23. $IPTABLES -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT
  24.  
  25. #ACCESSO A SMB DESDE LA RED LOCAL
  26. $IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
  27. $IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
  28. $IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
  29. $IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
  30. $IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
  31. $IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
  32. $IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
  33. $IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT
  34.  
  35. #ACCESO AL PROXY
  36. $IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT
  37.  
  38. #ACCESO AL APACHE PARA APLICACIONES LOCALES
  39. $IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
  40. $IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --sport 80 -j ACCEPT
  41.  
  42. # FTP Activo
  43. $IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT  # Port
  44. $IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT  # Port
  45. $IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT  # Port
  46. $IPTABLES -A INPUT -p udp --sport 20 -j ACCEPT  # Port
  47.  
  48. $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT  # Control
  49. $IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT  # Control
  50. $IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT  # Control
  51. $IPTABLES -A INPUT -p udp --sport 21 -j ACCEPT  # Control
  52.  
  53. $IPTABLES -A INPUT -p tcp --dport 1987 -j ACCEPT
  54. $IPTABLES -A INPUT -p udp --dport 1987 -j ACCEPT
  55. $IPTABLES -A INPUT -p tcp --sport 1987 -j ACCEPT
  56. $IPTABLES -A INPUT -p udp --sport 1987 -j ACCEPT
  57. #PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
  58. $IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  59. $IPTABLES -A INPUT -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  60. $IPTABLES -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  61. #*************************************************************#
  62. #*************************************************************#
  63. #                       REGLAS DE OUTPUT                    #
  64. #*************************************************************#
  65. #*************************************************************#
  66. #PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
  67. $IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT
  68.  
  69. #PERMITIR PNGS DESDE INTERNET
  70. #$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT
  71.  
  72. #DNS
  73. $IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
  74. $IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
  75.  
  76. #ACCESO A SSH DESDE LA RED LOCAL
  77. $IPTABLES -A OUTPUT -o $LAN -p tcp --sport 22 -j ACCEPT
  78.  
  79. #ACCESSO A SMB DESDE LA RED LOCAL
  80. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
  81. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
  82. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
  83. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
  84. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
  85. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
  86. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
  87. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT
  88.  
  89. # FTP Activo
  90. $IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT  # Port
  91. $IPTABLES -A OUTPUT -p udp --dport 20 -j ACCEPT  # Port
  92. $IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT  # Control
  93. $IPTABLES -A OUTPUT -p udp --dport 21 -j ACCEPT  # Control
  94. $IPTABLES -A OUTPUT -p tcp --dport 1987 -j ACCEPT  # Control
  95. $IPTABLES -A OUTPUT -p udp --dport 1987 -j ACCEPT  # Contro
  96. #$IPTABLES -A OUTPUT -p tcp --sport 1987 -j ACCEPT  # Control
  97. #$IPTABLES -A OUTPUT -p udp --sport 1987 -j ACCEPT  # Contro
  98.  
  99. #ACCESO AL PROXY DESDE LA LAN
  100. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT
  101.  
  102. #ACCESO AL APACHE PARA APLICACIONES LOCALES
  103. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
  104. $IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --dport 80 -j ACCEPT
  105.  
  106. #PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS
  107.  
  108. $IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  109. $IPTABLES -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  110. $IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  111. #*************************************************************#
  112. #*************************************************************#
  113. #                       REGLAS DE FORWARD                     #
  114. #*************************************************************#
  115. #*************************************************************#
  116. #HABILITAR CONSULTA DNS
  117. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
  118. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 53 -j ACCEPT
  119.  
  120. #HABILITAR EL POP3
  121. #$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 110 -j ACCEPT
  122. #$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 995 -j ACCEPT
  123.  
  124. #HABILITAR EL SMTP
  125. #$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 25 -j ACCEPT
  126.  
  127. #HABILITAR TRAFICO WEB
  128. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT
  129.  
  130. #HABILITAR PING
  131. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT
  132.  
  133. #PERMITIR EL USO DE MSN MESSENGER
  134. #$IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT
  135.  
  136. #PERMITIR EL USO DEL PUERTO DEL CPANEL
  137. #$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 2083 -j ACCEPT
  138.  
  139. #PERMITIR EL USO DEL SSL
  140. $IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 443 -j ACCEPT
  141.  
  142. #PERMITIR CONEXIONES SSH HACIA EL EXTERIOR
  143. $IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 22 -j ACCEPT
  144.  
  145. # FTP Activo
  146. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
  147. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
  148. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
  149. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
  150. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 21 -j ACCEPT  # Control
  151. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 21 -j ACCEPT  # Control
  152. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1987 -j ACCEPT  # Control
  153. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1987 -j ACCEPT  # Control
  154. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1024:65535 -j ACCEPT  # Control
  155. $IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1024:65535 -j ACCEPT  # Control
  156.  
  157. #HABILITAR LAS CONEXIONES ESTABLECIDAS
  158. $IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
  159.  
  160. #*************************************************************#
  161. #*************************************************************#
  162. #                       REGLAS De NAT                         #
  163. #*************************************************************#
  164. #*************************************************************#
  165. #ACTIVANDO EL NAT USANDO MASQUERADE
  166. echo "1" > /proc/sys/net/ipv4/ip_forward
  167. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.200 -p tcp -j MASQUERADE
  168. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 20 -j MASQUERADE
  169. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 21 -j MASQUERADE
  170. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 20 -j MASQUERADE
  171. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 21 -j MASQUERADE
  172. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 22 -j MASQUERADE
  173. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1987 -j MASQUERADE
  174. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1987 -j MASQUERADE
  175. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1024:65535 -j MASQUERADE
  176. $IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1024:65535 -j MASQUERADE
  177.  
  178.  
  179. #BLOQUEANDO PUERTO 35803 POR BENEO DE GOOGLE
  180. $IPTABLES -A INPUT -p tcp --dport 35803 -j DROP
  181. $IPTABLES -A OUTPUT -p tcp --dport 35803 -j DROP
  182. #####BLOQUEO DE HOTSPOTSHIELD##########
  183. $IPTABLES -I FORWARD -p tcp -d 74.115.0.0/16 -j DROP
  184. $IPTABLES -I FORWARD -p tcp -s 74.115.0.0/16 -j DROP
  185.  
  186. #BLOQUEOS IP ENTRADA
  187. $IPTABLES -I INPUT -s 52.74.174.204 -j DROP # 15/05/15
  188.  
  189.  
  190.  
  191.  

Desconectado kenedycruz14

  • Newbie
  • *
  • Mensajes: 13
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #3 : septiembre 09, 2016, 11:14:06 pm »
NO COMPRENDO si el sarg me dice que esas ip externas estan denied y aun me generan trafico ya menos que antes de aplicar la regla deny all¡localnet

Desconectado firecold

  • Moderador
  • *
  • Mensajes: 3444
  • Ubicación: Guatemala
  • Todo lo puedo en Cristo que me fortalece.
    • Ver Perfil
  • Me Gusta: 30
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #4 : septiembre 12, 2016, 04:47:09 pm »
NO COMPRENDO si el sarg me dice que esas ip externas estan denied y aun me generan trafico ya menos que antes de aplicar la regla deny all¡localnet

Creo que tanto tu configuracion como tus reglas de iptables estan muy engorrosas y tendras que ordenarlas, ya que squid se maneja leyendo de arriba hacia abajo, osea que tendras que ordenar tu configuracion si no no funcionara, Saludos

Desconectado kenedycruz14

  • Newbie
  • *
  • Mensajes: 13
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #5 : septiembre 21, 2016, 07:47:22 am »
esto sigue sucediendo ya me rindo. esta el denegar todo

Desconectado firecold

  • Moderador
  • *
  • Mensajes: 3444
  • Ubicación: Guatemala
  • Todo lo puedo en Cristo que me fortalece.
    • Ver Perfil
  • Me Gusta: 30
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #6 : septiembre 21, 2016, 10:06:01 am »
esto sigue sucediendo ya me rindo. esta el denegar todo

Solo mira el primer detalle de tus reglas y por eso te dije que las revisaras, ya que squid lee las reglas de arriba hacia abajo, entonces a simple vista puedo ver parte de tu problema, ya que en unas reglas estas permitiendo y denegando las mismas cosas que en otras permites, lo que te quiero decir que revises bien tus reglas y primero que nada revisa el contenido en ellas, como si vas a denegar lo tienes que hacer primero permites y luego deniegas el resto, en ese orden, Saludos


Desconectado kenedycruz14

  • Newbie
  • *
  • Mensajes: 13
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #7 : octubre 04, 2016, 12:59:28 pm »
Para que vean la magnitud de lo que hay con respecto a este tema 
reinstale todo squid 3  una sola regla denegar todo e instale sarg y sigue la fiesta de direcciones ip que no son localnet por un momento pense que eran los puertos pero no fue asi cambie el puerto del proxy y nada aplique un firewall que hay por internet y aun asi sigue pasando trafico  :-X








por lo menos asi ya descarte que sea squid ya ahora voy para iptables si alguien tiene un conf de iptables mas robusto

Desconectado firecold

  • Moderador
  • *
  • Mensajes: 3444
  • Ubicación: Guatemala
  • Todo lo puedo en Cristo que me fortalece.
    • Ver Perfil
  • Me Gusta: 30
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #8 : octubre 04, 2016, 05:12:03 pm »
Para que vean la magnitud de lo que hay con respecto a este tema 
reinstale todo squid 3  una sola regla denegar todo e instale sarg y sigue la fiesta de direcciones ip que no son localnet por un momento pense que eran los puertos pero no fue asi cambie el puerto del proxy y nada aplique un firewall que hay por internet y aun asi sigue pasando trafico  :-X


No amigo tu problema es configuracion de Squid, ya que squid bloquea o permite el ingreso a ciertas paginas, ni iptables, si se puede hacer pero no es lo ideal, en mi caso es bien facil, en mi red interna por ejemplo la de mi casa, tengo estas reglas


Código: [Seleccionar]
acl admin src 192.168.2.1  # mi Ip en la red
acl localnet src -i  "/etc/squid/bloqueados.lst # rango de IP'S que hay en mi red 192.168.1.2-10"
acl blacklist dstdomain -i "/etc/squid/blacklist.lst" # reglas de bloqueo no solo de paginas si no de otros menjurges
Y para permitir o bloquear

Código: [Seleccionar]
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow admin # le doy todos los acessos a mi ip primero, primero permito y luego deniego por pasos o todo.
http_access allow localnet !blacklist  # permito unicamente las ips mencionadas y le aplico la denegacion de acceso.
http_access deny all # y luego bloqueo todo

Es cuestion de como permites y como bloqueas, hablo del orden de como lo haces, en mi caso soy tan paranoico que solo permito las ips que necesito no mas, hay personas que tienen una red de 100 ips y permiten un rango de 254 ips, osea 154 ips que nada que ver, que no las vas usar y hay otros que permiten redes enormes de mas de mil ips y utilizan unas cuantas, es cuestion de perspectiva y aparte squid tiene un orden para leer el archivo entonces hay que permitir lo que tienes que permitir y desender hasta denegar todo lo que no necesitas, Saludos






por lo menos asi ya descarte que sea squid ya ahora voy para iptables si alguien tiene un conf de iptables mas robusto

Desconectado kenedycruz14

  • Newbie
  • *
  • Mensajes: 13
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #9 : octubre 05, 2016, 09:03:49 am »
buen dia nuevamente yo seguire probando lo mas curioso es que  nadie usa ese proxy ya que esta recien instalado y nadie navega a traves de el.
el trafico que esta generando es de la wan proveniente de ip de chinas y rusia estoy conciente que es un ataque por que en lo que arranco el squi en el acces.log espieza como la matrix de ips que intenta acceder y navegar con mi proxy. en las misma pruebas en mi trabajo un dia lo deje permitir todo y en mi casa puse la ip publica que tiene el proxy de mi trabajo y el puerto y yo navegue en mi casa y em el sarg al dia siguiente estaba la ip de mi casa y las paginas que entre. en esta ocasion ya cerre todo en el squid y no me deja navegar como paso aquel dia por que el proxy me rechaza la conexion,

yo seguire probando si en algun momento llego a resolver algo o dar con el problema no dudare en publicarlo por aqui gracias firecold

Desconectado firecold

  • Moderador
  • *
  • Mensajes: 3444
  • Ubicación: Guatemala
  • Todo lo puedo en Cristo que me fortalece.
    • Ver Perfil
  • Me Gusta: 30
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #10 : octubre 05, 2016, 03:07:22 pm »
buen dia nuevamente yo seguire probando lo mas curioso es que  nadie usa ese proxy ya que esta recien instalado y nadie navega a traves de el.
el trafico que esta generando es de la wan proveniente de ip de chinas y rusia estoy conciente que es un ataque por que en lo que arranco el squi en el acces.log espieza como la matrix de ips que intenta acceder y navegar con mi proxy. en las misma pruebas en mi trabajo un dia lo deje permitir todo y en mi casa puse la ip publica que tiene el proxy de mi trabajo y el puerto y yo navegue en mi casa y em el sarg al dia siguiente estaba la ip de mi casa y las paginas que entre. en esta ocasion ya cerre todo en el squid y no me deja navegar como paso aquel dia por que el proxy me rechaza la conexion,

yo seguire probando si en algun momento llego a resolver algo o dar con el problema no dudare en publicarlo por aqui gracias firecold

Te podria recomedar esto, cone sto no se te sale nada que no dejes a proposito: http://www.alterserv.com/foros/index.php?topic=1496.0, Saludos

Desconectado kenedycruz14

  • Newbie
  • *
  • Mensajes: 13
  • Ubicación:
    • Ver Perfil
  • Me Gusta: 0
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #11 : febrero 17, 2017, 11:17:45 pm »
Buenas chicos al parecer ya encontre mi problema con las direcciones de china que me generaban trafico voy por orden


1.gracias a firecold monte unas mejores reglas mas entendibles, en fin solo permitia a localnet lo demas lo denegaba pero cuando  revisaba mi /var/log/squid3/access.log seguia viendo direcciones de otros lugares que no eran de mi localnet las ip era de otros paises que querian conectarse a mi proxy para navegar atraves de el. trabajo para una institucion publica la cual contrato un servicio de cantv empresarial que me dan algunas ip publicas fijas. entonces el servidor que administro por supuesto tiene dos interfaces de red lan y wan ya que  desde cuando llegue solo hay un servidor y en el hay el dns, dhcp y proxy todo eso corriendo bajo ubuntu 12 bueno como ya dije tiene dos interfaces de red siendo cliente en mi trabajo coloco el proxy 192.168.0.254:3128 navegando fino osea bien. pero un dia en mi casa aburrido coloque el proxy pero claro la ip publica 190.xxx.xx.xxx:3128 sorpresa si navegaba y cuando buscaba un servicio de que me dijera mi ubicacion estaba en mi trabajo y no podia ver las paginas bloqueada esto me llevo a arreglar las reglas tanto mi desespero me registre en este foro. como dije al principio solo permiti a  localnet aunque ya no navegaba con la ip publica y puerto desde mi casa pero si me seguia generando trafico de china por ej:

todas las mañana cuando revisaba el sarg 
202.52.156.22    80mg            y todas las paginas que intento acceder las denego  pero igual me generaba trafico denegandola


mi sospecha comenzo cuando instale un nuevo proxy de prueba recien instaladolo y veia el /var/log/squid3/acces.log ya me denegaba ip extrañas cuando cambie el puerto al 3129 al principio los robots no me enviaban nada pero al rato ya tenia peticiones. 

creo que los aburri la solucion mia fue cerrar el puerto 3128 para la wan solo para la wan
muy facil con ufw o con ip tables 
iptables: $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j DROP   eth1 es mi interfaz wan 
 

ufw lo recomiendo de verda muy bueno: ufw deny in on eth1 to any port 3128
 bueno creo que el que este cansado de las 2000 direcciones todos los dias en el sarg esta fue mi solucion espero que le sirva a alguien y bueno si me dan permiso creo que merece abrir un hilo nuevo.
chao gracias y espero ayudarlos como lo hicieron Dios les bendiga

Desconectado firecold

  • Moderador
  • *
  • Mensajes: 3444
  • Ubicación: Guatemala
  • Todo lo puedo en Cristo que me fortalece.
    • Ver Perfil
  • Me Gusta: 30
Re:Squid me deniega algunas ip externa pero siguen consumiendo trafico
« Respuesta #12 : febrero 21, 2017, 11:48:49 am »
Squid de cierto modo engorroso, no solo tienes que crear reglas en Squid entendibles, si no tambien en orden, ya que Squid se lee de arriba hacia abajo y eso ha sido problema para muchos, como tambien la buena configuracion de iptables, ya que es la misma historia que Squid, pero que bueno que hayas encontrado un solucion, Saludos