From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <4090BF0D.40807@ricom.ru> Date: Thu, 29 Apr 2004 12:38:37 +0400 From: Alexey Morsov Organization: Ricom-Trust User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.6a) Gecko/20031030 X-Accept-Language: ru-ru, ru, ja MIME-Version: 1.0 To: community@altlinux.ru Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: [Comm] illegal ip on squid X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.4 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Apr 2004 08:38:45 -0000 Archived-At: List-Archive: List-Post: Привет, Уже было от меня про это и вот опять повторилось... И так, в логе сквида есть строка вида: 1083131124.900 27 69.164.93.109 NONE/413 1566 NONE error:request-too-large - NONE/- text/html сам squid настроен на обслуживание только 192.168.130.0/24 т.е. все логично. Одно маленькое но неприятное но: поднят arpwatch который слушает нашу LAN - так вот он никаких новых станций (ну кроме bogon 169.254.100.100) не видел в это время... Надо так понимать что конект к squid с адреса 69.164.93.109 пришел извне... но в iptables INPUT извне разрешено только ESTABLISHED,RELATED (пробовали сами с другого канала залезть - не выходит) У меня одна только идея - кто-то (или что-то) на машинке в нашей сетке инициирует соединение куда-то - от туда идет отклик и попадает на мой squid (как и зачем?) который его отфутболивает... Собственно вопрос - куда рыть, кого крыть? Как просечь машинку которая может инициировать такой конект? -- С наилучшими пожеланиями, Алексей.