cómo verificar qué proceso se conecta a mi calamar

3

Encontré hoy que tengo proxy abierto ( squid en Debian). Arreglé la regla del firewall, y ahora no lo estoy. Pero alguien todavía usa este proxy, parece que se está procesando desde dentro de mi máquina. Intento encontrar qué proceso está usando mi proxy.

Tengo Debian con lxc-containers . squid está en un contenedor ( 172.16.0.2 ), y creo que el proceso que está usando mi squid está en la máquina host:

1520955127.112     43 172.16.0.1 TCP_MISS/200 585 GET http://766dsw.top/ - HIER_DIRECT/54.36.219.10 text/html

¿Cómo conseguir el proceso? (Tal vez no sea desde dentro?) Ejecuté el iptables -j LOG y obtuve esto:

Mar 13 18:14:56 zenon kernel: FORWARD  IN=enp2s0 OUT=lxcbr0 MAC=00:19:b9:1c:83:c4:00:1d:aa:cf:bd:a0:08:00 SRC=101.254.225.243 DST=172.16.0.2 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=14541 DF PROTO=TCP SPT=49875 DPT=8080 WINDOW=256 RES=0x00 ACK URGP=0

pero elimino todas las reglas de pre-enrutamiento del firewall sobre el puerto 8080 y la dirección 172.16.0.2 ... y por supuesto iptables -A FORWARD -P DROP

y de alguna manera todavía pasa ...

    
pregunta Tomasz Brzezina 13.03.2018 - 16:33
fuente

1 respuesta

1

Finalmente encontré el problema, por supuesto que era un firewall.

Utilizo la lista desplegable de este tutorial y pongo las reglas iptables -I FORWARD -j droplist En algún lugar en medio de las reglas. Pero esta regla tiene que ser la primera regla

#!/bin/bash
_input="/root/blocked.ip.db"
IPT=/sbin/iptables

$IPT -F 
$IPT -F nat
$IPT -A INPUT -P DROP
$IPT -A OUTPUT -P DROP
$IPT -A FORWARD -P DROP

$IPT -X droplist
$IPT -N droplist
egrep -v "^#|^$" $_input | while IFS= read -r ip
do
    $IPT -A droplist -i eth1 -s $ip -j LOG --log-prefix "IP BlockList "
    $IPT -A droplist -i eth1 -s $ip -j DROP
done


# Drop it
$IPT -I INPUT -j droplist
$IPT -I OUTPUT -j droplist
$IPT -I FORWARD -j droplist


and the rest of the rules
    
respondido por el Tomasz Brzezina 13.03.2018 - 18:38
fuente

Lea otras preguntas en las etiquetas