Proxy SQUID + SARG analyse de log étrange

[briant]

Bonjour,

J'ai installé le module SARG pour avoir des statistiques du proxy :


Je ne comprend pas pourquoi des adresses IP publiques apparaissent comme ici l'ip 123.186.220.58 qui serait apparemment situé en chine.



Cette ip accède aux sites suivants : après vérification il s'agit d'un site de jeux en ligne (dofus)



une autre ip publique accédant a des centaines d'ip sur le port 25 :

[/img]

Je n'ai pas encore mis ipcop + BoT en place.

Pouvez vous me dire toute de même concrètement à quoi correspondent cette multitude de connexion apparaissant dans les logs de mon proxy ?

Cdt

[jdh]

Quand on répète que BOT est indispensable !
Une fois installé ipcop, la première chose à faire est d'installer BOT.

Ipcop embarque Squid. Hélas, 3 fois hélas !


Il y a une configuration DE BASE de Squid qui permet de fixer les machines pouvant passer par le Squid (acl reseaulocal src 192.168.x.x/255.255.255.0 + http_access allow reseaulocal).

Ensuite il y a iptables : BOT, étant là, devrait fermer totalement l'accès à Squid éventuellement accessible côté Red (si Red est publique) et ne devrait autoriser qu'à Green (sur le port d'écoute) l'accès à Squid.

Je ne vois guère d'autres explications possible à des ip publiques enregistrées comme source dans les logs squid.


Je ne suis pas spécialiste ni d'Ipcop ni de Sarg.
Il reste étonnant que Sarg comporte des sources avec un port 25 !


En fait un Squid séparé du firewall est une bonne chose, non ?

NB : Une recherche whois donne
211.20.188.150 - Geo Information
IP Address 211.20.188.150
Host mxs.pchome.com.tw
Location TW TW, Taiwan
City Taipei, 03 -

[briant]

Après vérification de mon fichier de configuration de Squid effectivement j'avais un http_allow ALL en source

j'ai modifié et autorisé uniquement mon réseau local en 192.168.0.x/24


Je n'ai pas encore mis IPCOP donc je n'ai pas du tout de firewall pour le moment, mais c'est la prochaine étape.

J'ai préféré mettre SQUID sur une machine dédiée plutôt que d'utiliser la version embarquée par ipcop je ne sais pas si celà est mieux ?


Ma crainte à la vue de ces logs est de savoir si ma connexion internet est utilisée par ces IP ?

Cdt

[jdh]

Pour avoir les meilleurs conseils, il faut renseigner un peu plus clairement !

- quel schéma ?
- quel machine connectée à Internet ?
- quelle distribution ?
- quels paquets installés ?

Comme d'autres, je pense que le firewall doit être une machine plutôt peu puissante et dédiée à la fonction firewall pure (aka iptables ou pf) gérant un filtrage que je décrirais comme "paquets" (ou plutôt sessions) ainsi que les accès VPN. La place des proxies (http ou smtp/pop) est d'être sur des machine dédiées protégé en terme de flux par le firewall.

S'il y a un "http_allow ALL", il y a peut-être un "my network=0.0.0.0" dans Postfix ou autre ...

J'estime nécessaire de commencer par mettre en oeuvre un firewall simple (Ipcop+BOT ou pfSense ou Debian+Shorewall ou autres ...) puis de mettre les machines nécessaires à un filtrage applicatif ...
Mais au moins, on saura déterminer exactement les flux entrants/sortants vers ou depuis une machine.

Si j'imagine que la machine proxy est une Debian, directement sur Internet, et avec 2 cartes réseau, il est URGENT d'installer un firewall (par exemple Shorewall).

[briant]

Voici une idée du schéma tout est sur le même réseau : serveur / station / routeur en 192.168.0.0 / 24

pas de possibilité de changer l'adressage pour le moment

[jdh]

On comprend le schéma qui est simple :

- Internet <-> routeur (NAT) <-> réseau interne
- aucune séparation entre serveurs et pc basic.

Le routeur effectue forcément un NAT pour accéder à Internet.
C'est aussi l'endroit de tout renvoi de trafic d'internet vers un serveur.

Il me parait peu probable que vous ayez renvoyer le flux 3128/tcp vers le Squid (sauf "DMZ").
Donc je ne vois pas vraiment que des internautes utilisent le squid à votre insu.
Cependant, une juste config est de définir le réseau local autorisé pour Squid.



NB : Il reste à décrire encore pas mal de choses ... et à manager le routeur ...