On 21 August 2004 pm 13:48, Cahyo wrote: > Iya bener proxy kamu open tuh 202.155.120.197 port 3128, hati2 BW > ACL nya gimana udah bener belom?? saya bisa pake proxy kamu padahal > diluar network kamu > regards, > -+Cahyo+-
Squid yang listen di IP PUBLIC saya rasa lebih baik difilter di IPTABLES saja, karena tidak perlu capek2 ubah settingan Squid.Conf, bahkan set saja di Squid.Conf ACL nya untuk memperbolehkan 0.0.0.0/0 akses proxy. Tinggal diset rule pada iptablesnya yang mana saja yang boleh nyentuh daemon Squid lewat port yang LISTEN. Kalau cuma difilter di ACL, problem pasti ada terus, melihat dari portnya yang default 3128, pasti banyak yang probing, testing proxynya open atau ndak. Entah coba2 probing METHOD CONNECT, atau PROBING Access. Belum lagi kalau jadi target untuk DDoS. Kemungkinan terparah, Squid tewas diikuti dengan bengkaknya bandwidth Incoming-Ougoing karena waktu ada user yang mau konek ke Squid tidak masuk dalam ACL, Squid akan ngirim pesan Access Denied. Pesan itu walaupun kecil, tapi kalau yang requestnya ratusan, akan menghabiskan bandwidth. Daripada pusying - pusying lebih baik jika difilter langsung pada iptables saja, jadi Squid cuma bisa diakses portnya oleh network tertentu saja. Regards, Rio Martin. > On Sat, 21 Aug 2004, Rio Martin. wrote: > :: On 21 August 2004 pm 12:50, :::H M::: wrote: > :: > Klo saya pake ( http_port 192.168.0.0:3128 ) squid gak bisa tuh > :: > melayani network saya, gimana donk??? > :: > :: Proxy mu memang terbuka tuh. > :: 202.155.120.197 port 3128 > :: > :: network yang akses proxy mu itu berapa ? > :: Nih langkah cepatnya: > :: > :: misalnya network mu yang akses ke proxy = 202.155.120.192/28 > :: masukkan iptables rule berikut: > :: > :: # iptables -I INPUT -p tcp --dport 3128 -d 202.155.120.197 -s ! > :: 202.155.20.192/28 -j DROP > :: > :: - Rio.Martin - > :: > :: > - Dave Matt <[EMAIL PROTECTED]> wrote: > :: > > maaf, setahu saya jika melihat access.log berarti (melihat akses > :: > > secara > :: > > umum) seperti di access.log untuk http ato squid > :: > > kemudian hubungan 'melihat' dan 'cegat' IP saya pikir 2 hal yang > :: > > berbeda. > :: > > > :: > > so, kalo ingin "cegat IP" luar atau "gimana yah rule iptables untuk > :: > > block > :: > > ip"?? > :: > > apa ada hub. dengan squid ? > :: > > > :: > > CMIIW > :: > > > :: > > | > Saya punya gateway dengan Redhat 9.0 , trans proxy (3128). > :: > > | > Cumann...gimana yah rule iptables untuk block ip luar, sebab > :: > > | > dari lognya squid sering muncul ip luar :( . Untuk IP LAN > :: > > | > 192.168.x.x Ini sebagian dari log nya: > :: > > | > > :: > > | > [EMAIL PROTECTED] root]# tail -f /var/log/squid/access.log > :: > > | > 1093023758.440 3368 80.171.6.192 TCP_MISS/200 139 CONNECT > :: > > | > mx-ha01.web.de:25 - DIRECT/217.72.192.149 - > :: > > | > :: > > | Barangkali squid-nya belum dikonfigurasi untuk listen di ip > :: > > > :: > > 192.168.x.x > :: > > > :: > > | 3128 saja ? > :: > > | > :: > > | # If you run Squid on a dual-homed machine with an internal > :: > > | # and an external interface then we recommend you to specify the > :: > > | # internal address:port in http_port. This way Squid will only > :: > > | be # visible on the internal address. > :: > > | # > :: > > | #Default: > :: > > | http_port 192.168.x.x:3128 > :: > > | > :: > > | salam, > :: > > | emnaz > :: > > :: > _______________________________ > :: > Do you Yahoo!? > :: > Win 1 of 4,000 free domain names from Yahoo! Enter now. > :: > http://promotions.yahoo.com/goldrush > :: > :: -- > :: Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] > :: Arsip, FAQ, dan info milis di http://linux.or.id/milis.php > :: Tidak bisa posting? Baca: > :: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi > :: http://linux.or.id/wiki/index.php?pagename=TataTertibMilis -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
