| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
L.I.S.
Зарегистрирован: 09.11.2002
Сообщения: 167
Откуда: none
|
 Добавлено: Вс Дек 14 2003 02:09 Заголовок сообщения: Squid или ptables? |
 |
|
Например в домашнем пользовании у меня у браузера сказано - использовать прокси с адресом 127.0.0.1 и портом 3128 для хттп. По моему мнению это означает, что бразюк по протоколу хттп будет лезть в сеть ТОЛЬКО через сквид. Однако, netstat показывает:
localhost.localdo:squid localhost.localdo:33423 ESTABLISHED
tcp 0 0 localhost.localdo:squid localhost.localdo:33353 CLOSE_WAIT
tcp 0 0 localhost.localdo:squid localhost.localdo:33355 CLOSE_WAIT
tcp 0 0 localhost.localdo:squid localhost.localdo:33413 TIME_WAIT
tcp 0 872 172.19.30.125:33340 nashalife.ru:http ESTABLISHED
tcp 0 872 172.19.30.125:33337 nashalife.ru:http ESTABLISHED
tcp 0 872 172.19.30.125:33376 nashalife.ru:http ESTABLISHED
tcp 0 872 172.19.30.125:33346 nashalife.ru:http ESTABLISHED
tcp 0 872 172.19.30.125:33371 nashalife.ru:http ESTABLISHED
tcp 0 0 localhost.localdo:squid localhost.localdo:33345 CLOSE_WAIT
tcp 0 0 localhost.localdo:squid localhost.localdo:33430 ESTABLISHED
tcp 0 0 localhost.localdo:squid localhost.localdo:33425 ESTABLISHED
tcp 0 0 localhost.localdo:squid localhost.localdo:33426 ESTABLISHED
tcp 0 0 localhost.localdo:squid localhost.localdo:33336 CLOSE_WAIT
tcp 0 0 172.19.30.125:33424 212.45.26.44:http TIME_WAIT
tcp 0 0 172.19.30.125:33427 212.45.26.44:http FIN_WAIT2
tcp 0 0 172.19.30.125:33429 212.45.26.44:http TIME_WAIT
tcp 0 0 172.19.30.125:33428 212.45.26.44:http TIME_WAIT
tcp 0 1 172.19.30.125:33431 212.45.26.44:http
Так вот непонятно. Соединение по ррр, 172.19.30.125 - мой айпи по ррр и открыты какие-то левые порты типа 33428. Откуда это? Ведь сказано - всему с браузера ходить на сквид и через сквид.
Настораживают конкретно строки:
tcp 0 0 172.19.30.125:33424 212.45.26.44:http TIME_WAIT
tcp 0 0 172.19.30.125:33427 212.45.26.44:http FIN_WAIT2
tcp 0 0 172.19.30.125:33429 212.45.26.44:http TIME_WAIT
tcp 0 0 172.19.30.125:33428 212.45.26.44:http TIME_WAIT
tcp 0 1 172.19.30.125:33431 212.45.26.44:http FIN_WAIT1
tcp 0 544 172.19.30.125:33433 212.45.26.44:http ESTABLISHED
tcp 0 1 172.19.30.125:33432 212.45.26.44:http FIN_WAIT1
tcp 0 0 172.19.30.125:33435 212.45.26.44:http TIME_WAIT
Может в iptables нужно что-то прописать? |
|
| Вернуться к началу |
|
 |
mare
Зарегистрирован: 12.09.2003
Сообщения: 222
|
| Добавлено: Вс Дек 14 2003 10:00 Заголовок сообщения: И что ты тут нашел криминального? |
|
|
Выполни трассировку твоего "криминального" хоста:
2 * * * Превышен интервал ожидания для запроса.
3 90 ms 100 ms 111 ms CreXGE0-0-3.ssilan.mtu.ru [195.34.52.1]
4 100 ms 100 ms 111 ms Crex-Fex.core.mtu.ru [195.34.53.2]
5 90 ms 90 ms 101 ms FeX-M9.core.mtu.ru [195.34.53.25]
6 90 ms 90 ms 110 ms cisco13.Moscow.gldn.net [193.232.244.43]
7 90 ms 100 ms 110 ms cat02.Moscow.gldn.net [194.186.157.229]
8 90 ms 110 ms 120 ms comcor-gw.Moscow.gldn.net [194.186.0.10]
9 90 ms 90 ms 100 ms gate3.comcor.ru [212.45.0.19]
10 100 ms 100 ms 100 ms 212.45.26.44
Если тебя сильно волнует ip=212.45.26.44, обратись к московскому провайдеру "Комкор" - не у него ли ты у него и получаешь услуги Интернета? Может быть, это - его промежуточный гейт или прокси? Набери статистику - сам поймешь.
А насчет "левых" портов - так это твой прокси обеспечивает возможность работы через один ip-адрес как нескольким другим хостам (в случае, если ты прокси поднял не ради любопытства), так и нескольким сессиям. Этот букет "левизны" всегда присутствует при юзании Интернета на любом типе хостов (хоть винды, хоть юниксы). Надо только внимательней смотреть, а еще лучше - файрвол поднять.
Номера основных портов описаны во многих книжках по tcp/ip, а верхние диапазоны портов (твои "левые") используются произвольно программами для обеспечения взаимодействия по сети. |
|
| Вернуться к началу |
|
|
L.I.S.
Зарегистрирован: 09.11.2002
Сообщения: 167
Откуда: none
|
| Добавлено: Вс Дек 14 2003 14:12 Заголовок сообщения: |
|
|
| Есть мнение, что сквид уже сам почему-то пользует не обязательно 3128, а может открывать и свои порты, хотя тогда не совсем понятно как файерволить... |
|
| Вернуться к началу |
|
|
Гость
|
| Добавлено: Вс Дек 14 2003 18:18 Заголовок сообщения: Насчет файрвола |
|
|
Файрвол обычно настраивают для того, чтобы в первую очередь закрыть вход, а не выход.
Конечно, если вход нужен (например, для ftp), разрешают именно те порты, которые нужны. |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Вс Дек 14 2003 19:46 Заголовок сообщения: А чего тебе тут не нравится? |
|
|
TCP-сессия имеет 12 байт идентификатора - IP-номер (4 байта) и номер порта (2 байта) клиента и сервера (плюс др.параметры). Номера портов больше 4096 как раз предназначены для портов клиента. Ничего странного тут нет.
А FireWall обычно настраивается так: сначала allow все established-пакеты, и только потом фильтрация sin-пакетов по портам назначения(сервера).
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
