Relatórios do SARG [RESOLVIDO]

Fatof
(usa Debian)

Enviado em 01/02/2011 - 15:33h

Boa tarde.
Geralmente os meus relatórios do SARG mostram uma média de 30 usuários por dia, mas de domingo pra cá, esse número aumentou, e no domingo ele mostra 300 usuários, e o de segunda mostra 700.
Aqui na empresa tenho mais ou menos uns 35 ips contando os notebooks, e os ips que está mostrando são ips de fora, não da rede local. Porém, esses ips transferiram todos o mesmo tanto, 1,35KB cada um.

Nunca vi isso, alguém sabe me explicar oque acontece?

fs.schmidt
(usa CentOS)

Enviado em 01/02/2011 - 16:53h

Olá amigo, será que o seu proxy não está aberto???? Como está a sua linha "http_port"???

Uma boa recomendação é utilizar: http_port SEUIP:PORTA
Exemplo: http_port 192.168.0.254:3128

Se criar uma regra de DROP na porta do squid na interface de internet também é bom....

Fatof
(usa Debian)

Enviado em 01/02/2011 - 17:04h

então, tá assim:
http_port 3128 transparent

vou mudar e ver oque acontece, mas estranho isso, pois já tenho esse servidor faz uns 3 meses e agora veio dar isso?

fs.schmidt
(usa CentOS)

Enviado em 01/02/2011 - 17:12h

Algum "port scan" detectou que você tem um proxy aberto ! Realmente da forma que você postou o squid está escutando em todas as interfaces, e provavelmente este servidor é conectado diretamente na internet, certo?

Se quiser, poste seu squid.conf que podemos te ajudar com algumas configurações de segurança ! Mas faça da forma que eu te falei http_port SEUIP:PORTA transparent e de um reload no squid que já deve parar o uso indevido.

fs.schmidt
(usa CentOS)

Enviado em 01/02/2011 - 17:15h

Olhe este exemplo:

root# netstat -putan | grep squid
tcp 0 0 192.168.100.254:3128 0.0.0.0:* LISTEN 2792/(squid)

O squid está escutando na porta 3128 somente no IP da minha interface local (192.168.100.254), se estiver 0.0.0.0 é porque está escutando em todos os endereços, ficando assim disponivel para a interface de internet.

Fatof
(usa Debian)

Enviado em 01/02/2011 - 17:22h

Então, eu coloquei do jeito que vc me disse porém todo mundo me ligou reclamando que não estavam conseguindo navegar... auhauhauhauhau

Sim meu servidor está conectado diretamente na internet.
Aqui vai meu squid.conf:

#Mensagem de Erro
error_directory /usr/share/squid/errors/Portuguese
#
#Porta do Squid
http_port 3128 transparent
#
#Hostname
visible_hostname KelowServer
#
#Cache de Paginas e arquivos
cache_mem 512 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 50 MB
minimum_object_size 0 KB
cache_swap_low 75
cache_swap_high 80
cache_dir ufs /etc/squid/cache 10000 32 256
cache_access_log /etc/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#
#Politicas de Acesso
acl all src 192.168.0.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
#
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
acl usuariosliberados src "/etc/squid/arquivos/UsuariosLiberados"
http_access allow usuariosliberados
#
acl bloqueados url_regex -i "/etc/squid/arquivos/sites_bloqueados"
http_access deny bloqueados
#
acl extensions url_regex -i "/etc/squid/arquivos/extensions"
http_access deny extensions
#
acl palavras_proibidas dstdom_regex "/etc/squid/arquivos/palavras_proibidas"
http_access deny palavras_proibidas
#
acl RedeKelowSP src 192.168.0.0/24
http_access allow RedeKelowSP
http_access deny localhost
http_access allow all

fs.schmidt
(usa CentOS)

Enviado em 01/02/2011 - 17:32h

Meu exemplo: "192.168.100.254" é o ip LOCAL do meu servidor proxy

http_port 192.168.100.254:3128 transparent

cache_mem 512 MB : Altere para 64mb ou no maximo 128mb se o servidor for decidado para proxy e ter no minimo 2gb ram, 512mb somente para cache é um valor muito alto.

acl all src 192.168.0.0/24: Altere para acl all src 0.0.0.0

http_access allow all = você está liberando tudo novamente, faça http_access deny all, como ultima regra mesmo.

fs.schmidt
(usa CentOS)

Enviado em 01/02/2011 - 17:34h

Além de limitar o squid a escutar no endereço local, é bom bloquear conexões na porta do squid na interface de internet:

iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

Supondo que "eth1" seja sua interface de internet.

Fatof
(usa Debian)

Enviado em 01/02/2011 - 17:50h

Ok, fiz algumas das modificações como por exemplo a do cache (coloquei 64), e a da http_port (coloquei 192.168.0.1:3128). Porém se eu colocar acl all src na que voce me disse, ele bloqueia todos, aí deixei como estava.
OBS: Como ele lê o script de baixo pra cima a regra "http_access allow all" é a primeira, não a última.
Vou fazer também as alterações no firewall com a regra que vc me deu...

fs.schmidt
(usa CentOS)

Enviado em 01/02/2011 - 17:58h

Exceto que você modifique a ordem de leitura das acls, o squid lê as regras de CIMA para baixo, você libera o que precisa e depois bloqueia o restante (order allow,deny).

O seu squid.conf está incorreto, as regras ALL e RedeKelowSP são a mesma coisa, sendo que RedeKelowSP deve ser sua rede e ALL todos os outros hosts 0.0.0.0.

Consulte esse meu artigo que está bem claro:

http://www.vivaolinux.com.br/artigo/Controle-de-acesso-a-internet-com-Squid/?pagina=2

Esse artigo confirma o que falei:

http://www.linux.com/archive/feature/114084

acl All src 0/0
acl PrivateNet src 192.168.0.0/24 192.168.1.0/24
http_access allow PrivateNet
http_access deny All

Fatof
(usa Debian)

Enviado em 01/02/2011 - 18:13h

Ahhhh, me desculpa cara, entendi agora... obrigado.

Fiz as modificações, deu tudo certo até agora...
Com essas modificações isto vai impedir o meu problema de 700 usuários? auhauhauhau

fs.schmidt
(usa CentOS)

Enviado em 01/02/2011 - 18:18h

Tranquilo ! Apanho do squid desde os 14 anos..rsrsrs

Sim, tem que resolver o seu problema de 700 usuários, ou você quer compartilhar sua internet com o planeta terra todo? (quem sabe não tem ninguém na ISS usando também....rsrs)

Você rodou o netstat que recomendei? Confirme que o squid está escutando somente no endereço local. Não esqueça de encerrar o tópico.

Abraços !!!