форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Учет работы пользователей, логи)
Изначальное сообщение		[ Отслеживать ]

"Лог днс-запросов"		+/–
Сообщение от handler2006 (ok) on 22-Мрт-10, 16:04
Здравствуйте! имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24). На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети. Проблема: С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1 Задача: определить, с какого адреса были отосланы запросы 19-Feb-2010  14:46:46   http://www.cd4b4b03.com/97924996.htm 19-Feb-2010  14:46:46   http://www.c9423e05.com/D091130C.htm 19-Feb-2010  14:46:46   http://www.90500a02.com/D76009A2.htm 19-Feb-2010  14:46:46   http://www.76b8ee50.com/B0C664A2.htm 19-Feb-2010  14:46:47   http://www.1daf1940.com/93EF38E4.htm 19-Feb-2010  14:46:47   http://www.c92e4e0c.com/37478613.htm 19-Feb-2010  14:46:47   http://www.55fbd9c8.com/85CB152B.htm 19-Feb-2010  14:46:47   http://www.75916910.com/773351E3.htm Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить,  кто генерирует эти запросы
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Лог днс-запросов"		+/–
Сообщение от reader (ok) on 22-Мрт-10, 20:06
DNS сервер может вести лог запросов
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Лог днс-запросов"		+/–
Сообщение от теоретик on 23-Мрт-10, 12:44
Снифером можно посмотреть. tcpdump показывает какие домены запрашиваются. Хотя вирус, скорее всего и не пытается определить существование этих доменов. Надо смотреть снифером кто такие запросы посылает сквиду. А вообще правильно ставить прокси до NAT, чтобы сразу в его логах было всё видно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Лог днс-запросов"		+/–
	Сообщение от handler2006 (ok) on 23-Мрт-10, 18:32
	> >А вообще правильно ставить прокси до NAT, чтобы сразу в его логах >было всё видно. Сейчас так и поступаю, только пока не работает. squid.conf http_ports 192.168.0.1:3128 acl net src 192.168.0.0/255.255.255.0 http_access allow net iptables -t nat -A PREROUTING -i $IF_LOCAL -d 0/0 -p tcp --dport 8080 -j REDIRECT --to-ports 3128 -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE Может, я что-то пропустил?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Лог днс-запросов"		+/–
	Сообщение от начинающий on 23-Мрт-10, 20:44
	>-t nat -A PREROUTING -i $IF_LOCAL -d 0/0 -p tcp --dport 8080 >-j REDIRECT --to-ports 3128 >-t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE > >Может, я что-то пропустил? Порт 8080 в браузерах прописываешь? Тогда есть ли необходимость именно прозрачного прокси?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Лог днс-запросов"		+/–
	Сообщение от handler2006 (ok) on 24-Мрт-10, 11:46
	> >Порт 8080 в браузерах прописываешь? >Тогда есть ли необходимость именно прозрачного прокси? в цепочках iptables пакеты от клиентов попадают в наши правила
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Лог днс-запросов"		+/–
	Сообщение от теоретик on 24-Мрт-10, 14:01
	>Может, я что-то пропустил? у клиентов в браузере должно стоять прокси-сервер - "192.168.0.1:3128" Т.е. либо браузер настроен правильно, либо интернет совсем не работает. >iptables >-t nat -A PREROUTING -i $IF_LOCAL -d 0/0 -p tcp --dport 8080 >-j REDIRECT --to-ports 3128 >-t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE а эти две строки лучше вообще убрать. Кому нужен интернет - пусть пользуются прокси-сервером. Либо сам NAT рставить (первую строку всё-равно убрать), но разрешить выход только избранным: iptables -A FORWARD -s 192.168.0.33 -o $EXT_IF -j ACCEPT ... iptables -A FORWARD -o $EXT_IF -j REJECT
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Лог днс-запросов"		+/–
	Сообщение от handler2006 (ok) on 25-Мрт-10, 06:55
	>у клиентов в браузере должно стоять прокси-сервер - "192.168.0.1:3128" >Т.е. либо браузер настроен правильно, либо интернет совсем не работает. > Точно, забыл >>iptables >>-t nat -A PREROUTING -i $IF_LOCAL -d 0/0 -p tcp --dport 8080 >>-j REDIRECT --to-ports 3128 >>-t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE > >а эти две строки лучше вообще убрать. Кому нужен интернет - пусть >пользуются прокси-сервером. Либо сам NAT рставить (первую строку всё-равно убрать), но >разрешить выход только избранным: Я думал, что первая строка подразумевает использование при прокси, иначе какой смысл в прокси?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Лог днс-запросов"		+/–
	Сообщение от теоретик on 25-Мрт-10, 15:17
	>Я думал, что первая строка подразумевает использование при прокси, иначе какой смысл >в прокси? че-то я запутался... Сквид где стоит? - на 192.168.0.1 (на той же машине, где включен NAT), или на 192.168.51.1 ??
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Лог днс-запросов"		+/–
	Сообщение от handler2006 (ok) on 25-Мрт-10, 18:52
	>>Я думал, что первая строка подразумевает использование при прокси, иначе какой смысл >>в прокси? > >че-то я запутался... Сквид где стоит? - на 192.168.0.1 (на той же >машине, где включен NAT), или на 192.168.51.1 ?? сквид стоит на нате, но у него есть родительский прокси 192.168.51.1
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Лог днс-запросов"		+/–
	Сообщение от теоретик on 26-Мрт-10, 15:14
	>сквид стоит на нате, но у него есть родительский прокси 192.168.51.1 Тогда никакого смысла в первой строке вообще нету. Прописывайте прокси-сервер в браузерах и на шлюзе запретите прямой выход в инет кому попало.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема