* [Comm] большой трафик
@ 2006-01-24 0:16 Прончаков Артем Юрьевич
2006-01-24 16:06 ` Michael Popov
0 siblings, 2 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-24 0:16 UTC (permalink / raw)
To: ALT Linux Community, =?koi8-r?q?=C0=C0=C0?=
Доброго времени суток.
ALM 2.4
Имеется доступ в инет.
В последнее время начал замечать что трафик стал очень большой. По 300-400
мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров,
и это еще высокий показатель.
Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я
еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а
в это время никого на работе еще и близко нету....
Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления?
Или сам Linux... Как можно это посмотреть? Какие логи?
В /var/log/messages ничего нет, кроме freshclam, но он ругается что само
приложение нужно обновлять и ничего не скачивает.
Что это может быть и как это можно узнать?
Заранее благодарен.
^ permalink raw reply [flat|nested] 12+ messages in thread[parent not found: <1143602744.20060124084909@sstu.ru>]
* Re: [Comm] большой трафик @ 2006-01-24 5:59 ` rs 2006-01-24 6:07 ` rs 2006-01-27 0:03 ` Прончаков Артем Юрьевич 2006-01-27 0:14 ` Прончаков Артем Юрьевич 2 siblings, 1 reply; 12+ messages in thread From: rs @ 2006-01-24 5:59 UTC (permalink / raw) To: community Здравствуйте, Прончаков. Вы писали 24 января 2006 г., 3:16:36: > Доброго времени суток. > ALM 2.4 > Имеется доступ в инет. > В последнее время начал замечать что трафик стал очень большой. По 300-400 > мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров, > и это еще высокий показатель. > Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я > еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а > в это время никого на работе еще и близко нету.... > Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления? > Или сам Linux... Как можно это посмотреть? Какие логи? > В /var/log/messages ничего нет, кроме freshclam, но он ругается что само > приложение нужно обновлять и ничего не скачивает. > Что это может быть и как это можно узнать? > Заранее благодарен. netstat -a | grep LISTEN а потом просто iptables'ом закрывай то что не нужно тебе ____________________________ С уважением, системный администратор СГТУ, каф."Системотехника" AND ЗАО "Тесар-СО", Егоров Стас ICQ:270805968 mailto:rs@sstu.ru ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-24 5:59 ` rs @ 2006-01-24 6:07 ` rs 0 siblings, 0 replies; 12+ messages in thread From: rs @ 2006-01-24 6:07 UTC (permalink / raw) To: community Здравствуйте, Прончаков. Вы писали 24 января 2006 г., 3:16:36: >> Доброго времени суток. >> ALM 2.4 >> Имеется доступ в инет. >> В последнее время начал замечать что трафик стал очень большой. По 300-400 >> мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров, >> и это еще высокий показатель. >> Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я >> еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а >> в это время никого на работе еще и близко нету.... >> Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления? >> Или сам Linux... Как можно это посмотреть? Какие логи? >> В /var/log/messages ничего нет, кроме freshclam, но он ругается что само >> приложение нужно обновлять и ничего не скачивает. >> Что это может быть и как это можно узнать? >> Заранее благодарен. если netstat не поможет(может ночью коннекты), то лучше всего поставить сниффер(я snort юзал в режиме сниффера) и о всё подробно запишет ____________________________ С уважением, системный администратор СГТУ, каф."Системотехника" AND ЗАО "Тесар-СО", Егоров Стас ICQ:270805968 mailto:rs@sstu.ru ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-24 5:59 ` rs @ 2006-01-27 0:03 ` Прончаков Артем Юрьевич 2006-01-27 0:14 ` Прончаков Артем Юрьевич 2 siblings, 0 replies; 12+ messages in thread From: Прончаков Артем Юрьевич @ 2006-01-27 0:03 UTC (permalink / raw) To: ALT Linux Community В сообщении от Вторник 24 Январь 2006 13:49 rs написал(a): Утром вот пришел на работу и увидел, что не смотря на то что разрешены только http,domain,ftp,pop3,smtp,icq, с пяти до шести утра было скачано 40 метров. Посмотрел /var/log/messages на всех компах, на одном сервере обнаружилось такое: >Jan 27 05:01:01 ns crond(pam_unix)[4440]: session opened for user root by (uid=0) >Jan 27 05:01:01 ns crond(pam_unix)[4440]: session closed for user root >Jan 27 05:37:41 ns named[1487]: unexpected RCODE (15) resolving 'ns.beotel.yu/AAAA/IN': 195.178.32.2# >53 >Jan 27 05:38:45 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 'mirrors.kernel.org/AAAA/IN': 2 >09.132.176.167#53 >Jan 27 05:38:46 ns named[1487]: lame server resolving 'mirrors.kernel.org' (in 'kernel.org'?): 204.15 >2.191.4#53 >Jan 27 05:39:29 ns named[1487]: lame server resolving 'mirror2.etf.bg.ac.yu' (in 'etf.bg.ac.yu'?): 14 >7.91.128.4#53 >Jan 27 05:39:43 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 'stoneship.bc.nu/AAAA/IN': 66.1 >87.233.210#53 >Jan 27 05:48:03 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 'srl.cs.jhu.edu/AAAA/IN': 128.2 >20.8.21#53 >Jan 27 05:48:04 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 'srl.cs.jhu.edu/AAAA/IN': 128.2 >20.8.20#53 >Jan 27 05:53:02 ns named[1487]: lame server resolving 'korn.csumb.edu' (in 'csumb.EDU'?): 130.150.102 >.100#53 >Jan 27 05:53:59 ns named[1487]: lame server resolving 'mirrors.kernel.org' (in 'kernel.org'?): 204.152.191.36#53 На этом компе стоит apache, но никаких портов с маршрутизатора к нему не проброшено. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-24 5:59 ` rs 2006-01-27 0:03 ` Прончаков Артем Юрьевич @ 2006-01-27 0:14 ` Прончаков Артем Юрьевич 2 siblings, 0 replies; 12+ messages in thread From: Прончаков Артем Юрьевич @ 2006-01-27 0:14 UTC (permalink / raw) To: ALT Linux Community В сообщении от Вторник 24 Январь 2006 13:49 rs написал(a): И еще! С 6 до 8 вечера вчера было три запроса к dhcp серверу на этом же компе. Хотя их просто не могло быть в это время. Посмотрел счетчики маскарадинга, нашел там 40 килобайт отправленных подозрительных данных с этого же сервера. Кстати, там же считается только исходящий трафик. А как считать и входящий тоже отдельно от входящего. На FORWARD, INPUT и OUTPUT считается трафик всех клиентов, а на маскарадинге по каждому. только исходящий. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-24 0:16 [Comm] большой трафик Прончаков Артем Юрьевич @ 2006-01-24 16:06 ` Michael Popov 2006-01-25 0:17 ` Прончаков Артем Юрьевич 1 sibling, 1 reply; 12+ messages in thread From: Michael Popov @ 2006-01-24 16:06 UTC (permalink / raw) To: maniakius, ALT Linux Community У вас случаем не squid? Если да, то посмотрите конфиг, особенно http_port. По-хорошему, squid должен слушать только внутреннюю сеть. Примерно так: http_port 192.168.0.1:3128 А то есть подозрение, что юзают ваш проксик. Прончаков Артем Юрьевич wrote: > Доброго времени суток. > ALM 2.4 > Имеется доступ в инет. > В последнее время начал замечать что трафик стал очень большой. По 300-400 > мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров, > и это еще высокий показатель. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-24 16:06 ` Michael Popov @ 2006-01-25 0:17 ` Прончаков Артем Юрьевич 2006-01-25 0:36 ` Pavel S. Khmelinsky ` (2 more replies) 0 siblings, 3 replies; 12+ messages in thread From: Прончаков Артем Юрьевич @ 2006-01-25 0:17 UTC (permalink / raw) To: ALT Linux Community В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a): > У вас случаем не squid? > Если да, то посмотрите конфиг, особенно http_port. > По-хорошему, squid должен слушать только внутреннюю сеть. > Примерно так: > http_port 192.168.0.1:3128 > > А то есть подозрение, что юзают ваш проксик. Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню! В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего передано не было. Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол порт недоступен, а если RETURN, то будет, правильно? А в Линуксе по-умолчанию не стоит проверка обновлений? Например через apt-get на ftp'шниках? Потому что пару раз замечал установленные соединения с ftp в имени которого присутствует alt. Немного посмотрел откуда ноги растут, нашел в synaptic списов фтп серверов, некоторые из которых были выделены. Отключил все. Будет ли этого достаточно, или есть еще где-то настройки? ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-25 0:17 ` Прончаков Артем Юрьевич @ 2006-01-25 0:36 ` Pavel S. Khmelinsky 2006-01-25 7:43 ` Прончаков Артем Юрьевич 2006-01-25 9:56 ` Aleksey Avdeev 2 siblings, 1 reply; 12+ messages in thread From: Pavel S. Khmelinsky @ 2006-01-25 0:36 UTC (permalink / raw) To: maniakius, ALT Linux Community Прончаков Артем Юрьевич wrote: >В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a): > > >>У вас случаем не squid? >>Если да, то посмотрите конфиг, особенно http_port. >>По-хорошему, squid должен слушать только внутреннюю сеть. >>Примерно так: >>http_port 192.168.0.1:3128 >> >>А то есть подозрение, что юзают ваш проксик. >> >> > >Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню! >В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и >т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего >передано не было. > >Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол >порт недоступен, а если RETURN, то будет, правильно? > > И да и нет. Насчет DROP верно. Насчет RETURN нет. RETURN это директива файерволу вернуться в предыдущую таблицу и начать проверку правил начиная с правила, следующего, за тем, которое явилось причиной попадания в текущую таблицу. ;))))) Не очень понятно наверное выразился..... На примере 1: iptables -A INPUT -j MYOWNTABLE 2: iptables -A INPUT -j ACCEPT 3: iptables -A MYOWNTABLE -s $trusted_host -j RETURN 4: iptables -A MYOWNTABLE -j DROP Т.е. маршрут по правивам будет следующий: 1, далее 3 (т.к. -j MYOWNTABLE), далее если source_host = $trusted_host, то 2 (т.е. возвращаемся к след. строке после вызова текущей таблицы) иначе, 4, т.е. DROP. Такая цепочка будет пропускать на вход только хост $trusted_host. В каких случаях целесообразно использовать RETURN догадаетесь сами. ;) А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы просто описались.) -- Pavel S. Khmelinsky <hmepas@yauza.ru> System Administrator, ISP Yauza Telecom http://www.yauza.ru ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-25 0:36 ` Pavel S. Khmelinsky @ 2006-01-25 7:43 ` Прончаков Артем Юрьевич 0 siblings, 0 replies; 12+ messages in thread From: Прончаков Артем Юрьевич @ 2006-01-25 7:43 UTC (permalink / raw) To: ALT Linux Community В сообщении от Среда 25 Январь 2006 08:36 Pavel S. Khmelinsky написал(a): > Такая цепочка будет пропускать на вход только хост $trusted_host. В > каких случаях целесообразно использовать RETURN догадаетесь сами. ;) > > А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы > просто описались.) ^^^ Одумался... :)) Да, начал читать ваше письмо и вспомнил что именно означает RETURN... ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-25 0:17 ` Прончаков Артем Юрьевич 2006-01-25 0:36 ` Pavel S. Khmelinsky @ 2006-01-25 9:56 ` Aleksey Avdeev 2006-01-25 10:07 ` Прончаков Артем Юрьевич 2 siblings, 1 reply; 12+ messages in thread From: Aleksey Avdeev @ 2006-01-25 9:56 UTC (permalink / raw) To: maniakius, ALT Linux Community Прончаков Артем Юрьевич пишет: > В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a): > >>У вас случаем не squid? >>Если да, то посмотрите конфиг, особенно http_port. >>По-хорошему, squid должен слушать только внутреннюю сеть. >>Примерно так: >>http_port 192.168.0.1:3128 >> >>А то есть подозрение, что юзают ваш проксик. > > > Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню! Apache стоит? (Он тоже умеет быть прокси.) -- С уважением. Алексей. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик 2006-01-25 9:56 ` Aleksey Avdeev @ 2006-01-25 10:07 ` Прончаков Артем Юрьевич 0 siblings, 0 replies; 12+ messages in thread From: Прончаков Артем Юрьевич @ 2006-01-25 10:07 UTC (permalink / raw) To: ALT Linux Community В сообщении от Среда 25 Январь 2006 17:56 Aleksey Avdeev написал(a): > Apache стоит? (Он тоже умеет быть прокси.) Нет. Опять же пока. В принципе все решилось нормальной настройкой файрвола(раньше стоял аппаратный роутер, который настраивался с десятого пинка). Трафик стал такой каким ему и положено быть. Но причина все же не найдена. Из "левых" соединений были только соединения к ftp серверам(я так понимаю для обновлений ALT), но netstat говорил что данные не передавались и не принимались, просто connection established. ^ permalink raw reply [flat|nested] 12+ messages in thread
[parent not found: <1411355724.20060131101145@mail.ru>]
* Re: [Comm] большой трафик @ 2006-01-31 7:19 ` Прончаков Артем 0 siblings, 0 replies; 12+ messages in thread From: Прончаков Артем @ 2006-01-31 7:19 UTC (permalink / raw) To: ALT Linux Community В сообщении от Вторник 31 Январь 2006 15:11 Игорь написал(a): >А зачем тебе оконный менеджер ночью? А где я писал что-то об оконном менеджере? Да и какая разница в принципе?? ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2006-01-31 7:19 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2006-01-24 0:16 [Comm] большой трафик Прончаков Артем Юрьевич 2006-01-24 5:59 ` rs 2006-01-24 6:07 ` rs 2006-01-27 0:03 ` Прончаков Артем Юрьевич 2006-01-27 0:14 ` Прончаков Артем Юрьевич 2006-01-24 16:06 ` Michael Popov 2006-01-25 0:17 ` Прончаков Артем Юрьевич 2006-01-25 0:36 ` Pavel S. Khmelinsky 2006-01-25 7:43 ` Прончаков Артем Юрьевич 2006-01-25 9:56 ` Aleksey Avdeev 2006-01-25 10:07 ` Прончаков Артем Юрьевич 2006-01-31 7:19 ` Прончаков Артем
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git