Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Aiuto: Come evitare che ZS risponda a richieste dall'esterno

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
abramo



Registrato: 21/04/08 22:03
Messaggi: 31

MessaggioInviato: Lun Giu 02, 2008 9:18 am    Oggetto: Aiuto: Come evitare che ZS risponda a richieste dall'esterno Rispondi citando

Utilizzo ZS come ROUTER+PROXY+DANSG per far accedere gli utenti dei laboratori, della scuola dove lavoro, ad internet.
Oggi analizzando da casa il file dei LOG PROXY mi accorgo che, a tarda ora del 31 maggio, la ZS è stata interrogata dall'esterno sui servizi che poteva offrire come Posta, Acquisti, ecc, da un IP che risulta essere un sito romeno.
Servizi, ovviamente non offerti dal mio BOX.
E' possibile che questo sito abbia cercato dei servizi standard per eventualmente entrare e commettere illeciti?
E' possibile evitare che ZS risponda a tali richieste dall'esterno?
Anche se le risposte potrebbero essere ovvie scusate la mia ignoranza...
Grazie in anticipo a chi vorrebbe rispondere.
Abramo.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Giu 02, 2008 11:43 am    Oggetto: Rispondi citando

Mandami l'output del comando

iptables -t nat -L PREROUTING -n


Trovo strano l'accaduto in quando ho appositamente messo dei drop sul prerouting in maniera che richieste sulle porte 8080 e 8081 vengano ignorate.

Ciao
Top
Profilo Invia messaggio privato
abramo



Registrato: 21/04/08 22:03
Messaggi: 31

MessaggioInviato: Mar Giu 03, 2008 7:46 am    Oggetto: Rispondi citando

Per Fulvio
risultato del comando da te suggeritomi

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8081
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
Proxy tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80


di seguito parte dei LOG che mi hanno insospettito

22:21:42 83.103.147.47 GET 302 http://82.89.xx.xx//README 241+211 OK
22:21:42 83.103.147.47 GET 302 http://82.89.xx.xx/horde//README 247+217 OK
22:21:42 83.103.147.47 GET 302 http://82.89.xx.xx/horde2//README 248+218 OK
22:21:42 83.103.147.47 GET 302 http://82.89.xx.xx/horde3//README 248+218 OK
22:21:43 83.103.147.47 GET 302 http://82.89.xx.xx/horde-3.0.5//README 253+223 OK
22:21:43 83.103.147.47 GET 302 http://82.89.xx.xx/horde-3.0.6//README 253+223 OK
22:21:43 83.103.147.47 GET 302 http://82.89.xx.xx/horde-3.0.7//README 253+223 OK
22:21:44 83.103.147.47 GET 302 http://82.89.xx.xx/horde-3.0.8//README 253+223 OK
22:21:44 83.103.147.47 GET 302 http://82.89.xx.xx/horde-3.0.9//README 253+223 OK
22:21:44 83.103.147.47 GET 302 http://82.89.xx.xx/mail//README 246+216 OK
22:21:45 83.103.147.47 GET 302 http://82.89.xx.xx/email//README 247+217 OK
22:21:45 83.103.147.47 GET 302 http://82.89.xx.xx/webmail//README 249+219 OK
22:21:45 83.103.147.47 GET 302 http://82.89.xx.xx/newmail//README 249+219 OK
22:21:45 83.103.147.47 GET 302 http://82.89.xx.x/mails//README 247+217 OK
22:21:46 83.103.147.47 GET 302 http://82.89.xx.xx/mailz//README 247+217 OK
22:26:51 83.103.147.47 GET 302 http://82.89.xx.xx//chat/messagesL.php3 254+224 OK
22:26:51 83.103.147.47 GET 200 http://82.89.xx.xx/chat//chat/messagesL.php3 0+0 BLACKLIST
22:26:51 83.103.147.47 GET 302 http://82.89.xx.xx/phpchat//chat/messagesL.php3 262+232 OK
22:26:51 83.103.147.47 GET 302 http://82.89.xx.xx/PhpMyChat//chat/messagesL.php3 264+234 OK
22:26:52 83.103.147.47 GET 302 http://82.89.xx.xx/chatroom//chat/messagesL.php3 263+233 OK



Invece questo è il risultato di mie interrogazioni dal pc di casa alla BOX ZSFR di scuola

09:10:41 79.19.xx.xx GET 302 http://82.89.xx.xx// 234+204 OK
09:31:18 79.19.xx.xx GET 302 http://82.89.xx.xx//b2evo 240+210 OK
09:45:50 79.19.xx.xx GET 302 http://82.89.xx.xx/horde//README 247+217 OK
09:47:23 79.19.xx.xx GET 302 http://82.89.xx.xx//wordpress/xmlrpc.php 281+225 OK
09:48:17 79.19.xx.xx GET 302 http://82.89.xx.xx//blogs/xmlsrv/xmlrpc.php 258+228 Ok


A queste interrogazioni la risposta è sempre URL sconosciuto


Grazie per l'attenzione
Abramo
Top
Profilo Invia messaggio privato
abramo



Registrato: 21/04/08 22:03
Messaggi: 31

MessaggioInviato: Mer Giu 04, 2008 6:26 pm    Oggetto: Pensata in automobile Rispondi citando

Per Fulvio
Penso che il problema capitatomi dipendesse dal fatto di aver attivato nel mio box ZSFR nella pagina

HTTP Capturing Rules

anche ETH01 forzando così il proxy a cercare di filtrare anche le richieste dall'esterno.

Eliminando tale opzione il box ZSFR sembra non rispondere più alle richieste.

Mi farebbe comunque piacere una tua opinione.

Grazie Abramo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Giu 04, 2008 8:41 pm    Oggetto: Rispondi citando

Ok, ora mi hai chiarito il problema. Ci pensavo senza capire come cio' che descrivevi potesse accadere. Infatti, poiché la 8080 tcp è chiusa in PREROUTING (l'ho chiusa proprio per evitare che dall'esterno si sfrutti abusivamente il proxy), l'unico modo per raggiungere il proxy (o DansGuardian) è quello di passare per la porta 80 che sempre in PREROUTING viene reindirizzata sulla 8080.
Il fatto che tu abbia abilitato la cattura della porta 80 sull'interfaccia esterna spiega tutto. In realtà, benché non abbia senso catturare le richieste HTTP sull'interfaccia verso la WAN, tale operazione non è pericolosa poiché non essendoci il routing adeguato, nessuno potrà mai sfruttare il proxy dall'esterno. Risulterranno comunque i tentativi nei log.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it