Marcação de cabeçalho no squid

hunter2800aa
(usa Debian)

Enviado em 10/10/2024 - 16:02h

Boa tarde galera....

Me deparei com um problema aqui na minha empresa....eu uso o proxy squid pra acesso na web e o fail2ban na maioria dos servidores

Uma pessoa errou varias vezes a senha de um dos servidores no navegador e bloqueou todos que estavam no proxy....

A pergunta é....eh possivel fazer alguma marcação no cabeçalho do squid para que meu servidor diferencie cada IP na minha rede?

amarildosertorio
(usa Fedora)

Enviado em 10/10/2024 - 16:14h

Existe uma diretiva de configuração chamada forwarded_for.

https://www.squid-cache.org/Doc/config/forwarded_for/

Carlos_Cunha
(usa Linux Mint)

Enviado em 10/10/2024 - 18:15h

É que o Squir que vai ir ate o teu servidor de authenciação pra por exemplo fazer a consulta LDAP(de for contra um DC por exemplo), nesse caso sempre ira com mesmo IP e não tem como informar o IP da estação por exemplo.
Como bloqueio e por ip o melhor seria vc implemntar isso então no lado do Squid e não do autenticador, pois no Squid vc conseguira ter o IP origenal da estação.

E por esse mesmo motivo que por exemplo não habilito o bloqueio de conta em um DC por erro de senha, em casos aonde a serviços como Webmail/ERP que autentica no DC, e estão aberto para a Internet, pois um ataque de brute-force, aonde o atacante utiliza variaos nomes, iria bloquear as contas, e isso ja aconteceu e acontece ainda aonde tem isso habilitado, pois e algo bem normal de ocorrer ainda mais em webmail.
Por isso no Webmail uso fail2ban para drop no IP de oirgem pois ali consigo ter essa informação.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

Buckminster
(usa Debian)

Enviado em 11/10/2024 - 09:46h

Configuraste essa parte no Fail2ban?

# "ignoreip" can be a list of IP addresses, CIDR masks or DNS hosts. Fail2ban
# will not ban a host which matches an address in this list. Several addresses
# can be defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8,::1/128,192.168.1.1,172.16.9.0/24

# External command that will take an tagged arguments to ignore, e.g. <ip>,
# and return true if the IP is to be ignored. False otherwise.
#
# ignorecommand = /path/to/command <ip>
ignorecommand =

# "bantime" is the number of seconds that a host is banned.
bantime = 1h

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 10m

# "maxretry" is the number of failures before a host get banned.
maxretry = 3


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!