|
Bloqueando o uso do squid por spammers |
|
|
|
Por Ederson P. Boeira
|
|
14 de abril de 2006 |
Como todos sabem, o spam é uma praga mundial que afeta o desempenho da internet e a paciência das pessoas.
O que tem acontecido muito, são os spammers ficarem scaneando as redes para enviar spam em proxys abertos.
Essa semana montei um squid + firewall + sarg, deixei ele 1 dia
ligado com ip real para testar. Naveguei 1 dia com meu micro passando
pelo proxy, quando fui olhar o access.log do squid, tive várias
surpresas: dezenas de hosts e ips se conectaram ao meu squid para
enviar spam.
Achei aquilo bem estranho. Então dei um tail -f no access.log e vi que
a cada segundo, uns 3 ou 4 spammers utilizavam meu squid pra se
conectarem à hosts sempre com os enderços terminados com :25.
Aí bateu um certo tipo de desespero! :-P. O que eu fiz de errado pro meu proxy estar deixando isso acontecer.
Para achar essa resposta, meti a cara no squid.conf e no meu script de
firewall. Bom, à primeira vista estava tudo normal. Até porque eu havia
utilizado estes mesmos scripts em outros servers sem que isso tivesse
acontecido.
Então recorri à Internet, comecei a procurar artigos e dicas pra barrar isso. Não achei muita coisa.
Teve gente dizendo pra alterar a acl all do squid, tirando o padrão 0.0.0.0/0.0.0.0 e colocando a faixa da rede local.
Ex.:
Alterar: acl all src 0.0.0.0/0.0.0.0
Para: acl all src 192.168.0.0/255.255.255.0
Só que depois disso, no final das acls tinha sempre o http_access allow
all e depois o deny all. Ou tinha outra acl rede contendo o mesmo
endereço da rede, primeiro allow rede, depois deny all.
Isso não adianta de nada, inclusive faz extamente o contrário do que eu
queria, porque está liberando a rede 192.168.0.0/24, depois negando a
mesma rede. E o resto? Por isso que deve-se manter a acl all com o
valor padrão e criar outra acl pra rede interna.
Depois disso, criei uma acl que bloqueia os endereços que contenham
:25. De tudo o que eu tinha tentado, foi o que mais deu certo, até
agora. Mas isso fez com que o squid negasse esses endereços, mas vendo
os logs, os spammers continuavam tentando.
Também coloquei regras no iptables pra bloquear o input e forward na
porta 25, mesmo não tendo essa porta aberta no meu server. Mas olhando
o access.log, vi que isso também não adiantou.
Vamos à SOLUÇÃO:
Para resolver este dilema, deve-se bloquear o input na porta 3128 para todos os endereços que não sejam o da rede interna.
Ex.:
iptables -A INPUT -p tcp -s ! 192.168.0.0/16 --dport 3128 -j REJECT
Pronto, feito isso os spammers pararam de fuçar no meu squid, já que
eram rejeitados qualquer endereço que não fosse o da rede interna.
Espero ter ajudado, já que ontem quando eu precisei, não encontrei nada que solucionasse meu problema.
[]
Ederson P. Boeira
Vacaria - RS
Somente usuários registrados podem escrever comentários.
Por favor faça o login ou registre-se. Powered by AkoComment 2.0! |
|
Última Atualização ( 14 de abril de 2006 )
|
