[FUG-BR] Squid mascarando ip de origem em e-mail ofensivo no yahoo

Ademir Costa Peixoto ademir em tellecom.com.br
Sexta Junho 15 10:32:46 BRT 2007


Prezados,

    Temos um router ligado a um servidor de cache que está ligado a um 
servidor de NAT.
    Servidor de Cache = 6.2-STABLE com Squid Cache: Version 2.6.STABLE12.
    Servidor de NAT = Mikrotik RouterOS.

    Um usuário nosso em ip falso entrou no yahoo e mandou e-mail ameaçador 
pra uma pessoa que olhou no cabeçalho da mensagem e viu o ip de origem. 
Detalhe: O ip de origem era o ip do micro Squid Cache, mesmo o servidor de 
NAT também tendo ip real.
    Pergunto:

    Como rastreio essa origem?

    Como faço pra marcar com o ip FALSO que está no cliente os cabeçalhos 
desses e-mails?

    Porque o ip REAL do segundo servidor não saiu no cabeçalho?

    (no ipfw tenho:  ipfw add fwd 127.0.0.1,3128 tcp from 200.xxx.xxx.xxx/27 
to any dst-port 80 pra dar cache aos ips reais)


    Pelo que pude perceber então se eu der um ip real pra cada cliente meu 
não irá adiantar nada pois o Servidor de Cache estará assinando a origem. 
Como proceder nesse caso?


    Ats,

    Ademir Peixoto



Mais detalhes sobre a lista de discussão freebsd