Od wersji Mandrake 10.0 (oraz nowszych w tym w Mandriva) masz wstępnie
skonfigurowane udostępnianie Internetu dla domowej sieci. Uwaga:
bez pytania o zgodę został zainstalowany demon squid
wymuszający na komputerach-klientach korzystanie z jego usług w
celu oglądania witryn www. Co to jest squid i po co w ogóle
znalazł się na naszym linuksowym routerze?
Serwer Web
Proxy czyli squid, to demon
mający na celu przechowywanie (i następnie udostępnianie)
zawartości stron www odwiedzonych przez użytkowników domowej sieci.
W razie kolejnego wezwania do załadowania strony www (np.
www.wp.pl) zamiast na nowo pobierać pliki z Internetu podsyła do
komputera-klienta zmagazynowane pliki. Czyli, jeżeli
komputer-klient odwiedzi stronę www.wp.pl, a np. 5 minut później
ten sam adres zechce oglądać inny komputer z domowej sieci, to ten
ostatni zobaczy nie tyle oryginalne pliki ze strony www.wp.pl, ale
zmagazynowane przez demona squid. Przy dużych lub bardzo
dużych domowych sieciach jest to idelane narzędzie zmniejszające
transfer z Internetu do naszego routera. Oczywiście istnieje
problem odpowiedniego odświerzania zmagazynowanych na routerze
plików, tak aby np. witryna z wiadomościami nie pokazywała się nam
w wersji wczorajszej ;) Temat może rozwinę na osobnej stronie.
SQUID - ZABEZPIECZANIE
Uwaga na domyślną konfigurację Squida, która umożliwia odpalenie za pomocą Squida wysyłki maila na konto ofiary - polecam tę
stronę (mam ją w swoim
archiwum). W dużym skrócie chodzi o to, że złośliwy obcy może skorzystać z możliwości źle skonfigurowanego Twojego Squida i wysyłać za pośrednictwem Twojego komputera tysiące maili
spod Twojego adresu IP. Aby bronić się przed zalewem spamu powstała zmowa administratorów dużych serwerów pocztowych. Polega ona na wymienianiu się adresami "szkodliwych" serwerów i blokowaniu ich w konfigach. Twój serwer (czyli adres IP) może być wprowadzony na czarną listę w centrali pod adresem
http://dsbl.org/, co skutkuje odmową obsługi, nawet w przypadku wysłania zwykłego, legalnego maila przez popularny serwer onet.pl, wp.pl itd.
Oto przykład komunikatu odmowy obsługi podczas wysyłania maila, który pokazał się u mojego znajomego.
Mój znajomy wysłał do centrali
http://dsbl.org/ maila z prośbą o odblokowanie jego nr IP. Otrzymał odpowiedź:
The problem was that your web server was insecurely configured as a proxy
server, which meant that not only could users on your LAN use it to connect
to
the Internet, but users on the Internet could use it to connect to other
users
on the Internet (to send spam) and they could also use it to connect to
computers on your LAN (not good for security!).
You certainly need to keep port 80 blocked until you can configure the
server
securely.
To remove your IP from DSBL you should set up a mail server that accepts
mail
for the domain zaw24.internetdsl.tpnet.pl. You'll then be able to receive
mail
addressed to postmaster@zaw24.internetdsl.tpnet.pl and hence remove your IP
from DSBL.
|
Here in WWW was the problem. Most likely, your mistake was misconfigured
mod_proxy in Apache acting as open HTTP proxy at port 80.
Someone was sending spam using your httpd.
Two steps.
1. Remove mod_proxy completely. If you need HTTP proxy, use Squid
instead and bind it to your internal NIC only.
2. Configure your mailserver for "zaw24.internetdsl.tpnet.pl" domain and
delist your machine from DSBL using <postmaster@zaw24.internetdsl.tpnet.pl>
|
Tłumaczenie tekstu:
Klopot w tym, ze twoj serwer sieci web (serwer proxy) zostal niebezpiecznie skonfigurowany i umożliwia zbyt wielu osobom korzystanie z nieuprawnionych połaczen z Internetem. Skutek jest taki, że z Internetem moga się laczyc nie tylko uzytkownicy sieci LAN, ale takze uzytkownicy z Internetu. Intruz z Internetu moze poprzez serwer proxy laczyc się z innymi uzytkownikami w Internecie by np. do wysyłac spam oraz lczyc sie z komputerami w twojej sieci LAN (jest niekorzystne dla zabezpieczeń!). Musisz wiec zablokowac port 80 do czasu, az bezpiecznie skonfigurujesz serwer proxy. Aby usunac swe IP z DSBL powinienes ustawic serwer pocztowy akceptujacy poczte z domeny zaw24.internetdsl.tpnet.pl. Bedziesz wtedy mogl otrzymywac poczte zaadresowana do postmaster@zaw24.internetdsl.tpnet.pl i w ten sposob usunac swoje IP z DSBL.
|
Byl problem na Twoim serwerze sieci web (serwer proxy). Najprawdopodobniej twoim błedem było nieskonfigurowane mod_proxy w Apache działajace jako otwarty HTTP proxy na porcie 80. Ktoś przesylal spam korzystajac z twojego httpd.
Wykonaj dwa kroki.
1. Usun mod_proxy kompletnie. Jeśli potrzebujesz HTTP proxy, użyj zamiast tego Squida i powiaz to tylko ze swoim wewnętrznym NIC.
2. Skonfiguruj swój serwer pocztowy dla domeny "zaw24.internetdsl.tpnet.pl" i sciagnij swoj komputer z listy DSBL uzywajac "postmaster@zaw24.internetdsl.tpnet.pl"
|
Jeżeli musisz używać Squida, to wyedytuj plik /etc/squid/squid i odszukaj wiersze:
acl local src 0.0.0.0/0.0.0.0
acl all src 0.0.0.0/0.0.0.0
Stosuj generalną zasadę, że zamiast wpisu
0.0.0.0/0.0.0.0 (wszystkie sieci i wszystkie komputery) podasz adres swojej sieci czyli np. 192.168.1.0/255.255.255.0
Powyższe wpisy trzeba więc poprawić na:
acl local src 192.168.1.0/255.255.255.0
acl all src 192.168.1.0/255.255.255.0
Odszukaj też wiersz zaczynające się na
http_access. Przykład fatalnego wpisu to:
http_access allow all
Nie wolno na to się zgadzać. Zahaszuj taki wiersz. Jak będę miał czas, to napiszę specjalną stronkę o konfiguracji Squida. Na razie niech powyższe wystarczy.
Na serwerze Apache (jeżeli go masz) zablokuj (usuwając wiersz lub haszując go w pliku /etc/httpd/conf/httpd-httpd2.conf) ładowanie modułu
mod_proxy.
SQUID - PRZYDATNE PORADY
- Pliki Squida warto umieszczać na osobnej partycji montowanej jako /var/spool/squid. Polecany system plików: ReiserFS (umie szybko odczytywać duże ilości małych plików).
- Jeżeli na Twoim routerze jest mało pamięci w kościach, to dane
SQUIDa będą zapisywane na dysk, a nie do pamięci RAM.
Wydłuży to nieco szybkość ładowania stronek www.
-
Jeżeli zdecydowałeś się na korzystanie ze SQUIDa, możesz być zmuszony do
skonfigurowania przeglądarkek na komputerach-klientach
wpisując do nich parametry PROXY.
W Internet Explorer 5 wykonaj: NARZEDZIA- OPCJE
INTERNETOWE- POŁĄCZENIA- USTAWIENIA SIECI LAN- UŻYJ SERWERA PROXY-
w polu ADRES wpisz nr IP BRAMY naszego routera (prawdopodobnie
192.168.1.1), a w polu PORT wpisz 3128. Nie zaszkodzi
zaznaczyć opcji NIE UŻYWAJ SERWERA PROXY DLA ADRESÓW LOKALNYCH.
W Netscape 7.2 (oraz w Mozilli) wykonaj: EDIT (Edycja)-
PREFERECES (Preferencje)- ADVANCED (Zaawansowane)- PROXIES- MANUAL
PROXY CONFIGURATION- HTTP PROXY 192.168.1.1 , PORT 3128
Uwaga: jeżeli SQUID jest ustawiony w opcji TRANSPARENT, to nie trzeba nic poprawiać w przeglądarkach.
*
Jeżeli strony na komputerze-kliencie ładują się niepoprawnie,
należy trzymając klawisz SHIFT wcisnąć ENTER. Spóbuj także
kliknąć w RELOAD (ODWIEŻ).
Uwaga: z powodu namnożenia się różnych złodziejskich witryn www, które kopiują moje strony i umieszczają je u siebie wraz z komercyjnymi reklamami (na których zarabiają) informuję, że wszelkie prawa są zastrzeżone.
Uwaga.
Aby uniknąć zasysania całej witryny gorzow-wlkp.pl/linux za pomocą programów typu TeleportPro, WebCopier itd. informuję, że udostępniłem spakowaną wersję (w formacie RAR).
