ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] большой трафик
@ 2006-01-24  0:16 Прончаков Артем Юрьевич
    2006-01-24 16:06 ` Michael Popov
  0 siblings, 2 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-24  0:16 UTC (permalink / raw)
  To: ALT Linux Community, =?koi8-r?q?=C0=C0=C0?=

Доброго времени суток. 
ALM 2.4
Имеется доступ в инет. 
В последнее время начал замечать что трафик стал очень большой. По 300-400 
мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров, 
и это еще высокий показатель.
Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я 
еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а 
в это время никого на работе еще и близко нету....
Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления? 
Или сам Linux... Как можно это посмотреть? Какие логи?
В /var/log/messages ничего нет, кроме freshclam, но он ругается что само 
приложение нужно обновлять и ничего не скачивает.

Что это может быть и как это можно узнать?

Заранее благодарен.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  @ 2006-01-24  5:59   ` rs
  2006-01-24  6:07     ` rs
  2006-01-27  0:03   ` Прончаков Артем Юрьевич
  2006-01-27  0:14   ` Прончаков Артем Юрьевич
  2 siblings, 1 reply; 12+ messages in thread
From: rs @ 2006-01-24  5:59 UTC (permalink / raw)
  To: community

Здравствуйте, Прончаков.

Вы писали 24 января 2006 г., 3:16:36:

> Доброго времени суток. 
> ALM 2.4
> Имеется доступ в инет. 
> В последнее время начал замечать что трафик стал очень большой. По 300-400
> мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров,
> и это еще высокий показатель.
> Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я
> еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а
> в это время никого на работе еще и близко нету....
> Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления?
> Или сам Linux... Как можно это посмотреть? Какие логи?
> В /var/log/messages ничего нет, кроме freshclam, но он ругается что само
> приложение нужно обновлять и ничего не скачивает.

> Что это может быть и как это можно узнать?

> Заранее благодарен.

 netstat -a | grep LISTEN
 а потом просто iptables'ом закрывай то что не нужно тебе

____________________________ 
С уважением,
 системный администратор
 СГТУ, каф."Системотехника"
 AND
 ЗАО "Тесар-СО",
 Егоров Стас
 ICQ:270805968
 mailto:rs@sstu.ru



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  2006-01-24  5:59   ` rs
@ 2006-01-24  6:07     ` rs
  0 siblings, 0 replies; 12+ messages in thread
From: rs @ 2006-01-24  6:07 UTC (permalink / raw)
  To: community

Здравствуйте, Прончаков.

Вы писали 24 января 2006 г., 3:16:36:

>> Доброго времени суток. 
>> ALM 2.4
>> Имеется доступ в инет. 
>> В последнее время начал замечать что трафик стал очень большой. По 300-400
>> мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров,
>> и это еще высокий показатель.
>> Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я
>> еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а
>> в это время никого на работе еще и близко нету....
>> Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления?
>> Или сам Linux... Как можно это посмотреть? Какие логи?
>> В /var/log/messages ничего нет, кроме freshclam, но он ругается что само
>> приложение нужно обновлять и ничего не скачивает.

>> Что это может быть и как это можно узнать?

>> Заранее благодарен.

если netstat не поможет(может ночью коннекты), то лучше всего
поставить сниффер(я snort юзал в режиме сниффера) и о всё подробно
запишет
____________________________ 
С уважением,
 системный администратор
 СГТУ, каф."Системотехника"
 AND
 ЗАО "Тесар-СО",
 Егоров Стас
 ICQ:270805968
 mailto:rs@sstu.ru



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  2006-01-24  0:16 [Comm] большой трафик Прончаков Артем Юрьевич
  @ 2006-01-24 16:06 ` Michael Popov
  2006-01-25  0:17   ` Прончаков Артем Юрьевич
  1 sibling, 1 reply; 12+ messages in thread
From: Michael Popov @ 2006-01-24 16:06 UTC (permalink / raw)
  To: maniakius, ALT Linux Community

У вас случаем не squid?
Если да, то посмотрите конфиг, особенно http_port.
По-хорошему, squid должен слушать только внутреннюю сеть.
Примерно так:
http_port 192.168.0.1:3128

А то есть подозрение, что юзают ваш проксик.

Прончаков Артем Юрьевич wrote:
> Доброго времени суток. 
> ALM 2.4
> Имеется доступ в инет. 
> В последнее время начал замечать что трафик стал очень большой. По 300-400 
> мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров, 
> и это еще высокий показатель.


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  2006-01-24 16:06 ` Michael Popov
@ 2006-01-25  0:17   ` Прончаков Артем Юрьевич
  2006-01-25  0:36     ` Pavel S. Khmelinsky
                       ` (2 more replies)
  0 siblings, 3 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-25  0:17 UTC (permalink / raw)
  To: ALT Linux Community

В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
> У вас случаем не squid?
> Если да, то посмотрите конфиг, особенно http_port.
> По-хорошему, squid должен слушать только внутреннюю сеть.
> Примерно так:
> http_port 192.168.0.1:3128
>
> А то есть подозрение, что юзают ваш проксик.

Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!
В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и 
т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего 
передано не было.

Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол 
порт недоступен, а если RETURN, то будет, правильно?

А в Линуксе по-умолчанию не стоит проверка обновлений? Например через apt-get 
на ftp'шниках? Потому что пару раз замечал установленные соединения с ftp в 
имени которого присутствует alt.
Немного посмотрел откуда ноги растут, нашел в synaptic списов фтп серверов, 
некоторые из которых были выделены. Отключил все. Будет ли этого достаточно, 
или есть еще где-то настройки?

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  2006-01-25  0:17   ` Прончаков Артем Юрьевич
@ 2006-01-25  0:36     ` Pavel S. Khmelinsky
  2006-01-25  7:43       ` Прончаков Артем Юрьевич
  2006-01-25  9:56     ` Aleksey Avdeev
    2 siblings, 1 reply; 12+ messages in thread
From: Pavel S. Khmelinsky @ 2006-01-25  0:36 UTC (permalink / raw)
  To: maniakius, ALT Linux Community



Прончаков Артем Юрьевич wrote:

>В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
>  
>
>>У вас случаем не squid?
>>Если да, то посмотрите конфиг, особенно http_port.
>>По-хорошему, squid должен слушать только внутреннюю сеть.
>>Примерно так:
>>http_port 192.168.0.1:3128
>>
>>А то есть подозрение, что юзают ваш проксик.
>>    
>>
>
>Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!
>В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и 
>т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего 
>передано не было.
>
>Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол 
>порт недоступен, а если RETURN, то будет, правильно?
>  
>
И да и нет. Насчет DROP верно. Насчет RETURN нет. RETURN это директива 
файерволу вернуться в предыдущую таблицу и начать проверку правил 
начиная с правила, следующего, за тем, которое явилось причиной 
попадания в текущую таблицу. ;))))) Не очень понятно наверное 
выразился..... На примере
1: iptables -A INPUT -j MYOWNTABLE
2: iptables -A INPUT -j ACCEPT
3: iptables -A MYOWNTABLE -s $trusted_host -j RETURN
4: iptables -A MYOWNTABLE -j DROP

Т.е. маршрут по правивам будет следующий:
1, далее 3 (т.к. -j MYOWNTABLE),
    далее
        если source_host = $trusted_host, то 2 (т.е. возвращаемся к 
след. строке после вызова текущей таблицы)
        иначе, 4, т.е. DROP.

Такая цепочка будет пропускать на вход только хост $trusted_host. В 
каких случаях целесообразно использовать RETURN догадаетесь сами. ;)

А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы 
просто описались.)

-- 
Pavel S. Khmelinsky <hmepas@yauza.ru>
System Administrator,
ISP Yauza Telecom
http://www.yauza.ru



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  2006-01-25  0:36     ` Pavel S. Khmelinsky
@ 2006-01-25  7:43       ` Прончаков Артем Юрьевич
  0 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-25  7:43 UTC (permalink / raw)
  To: ALT Linux Community

В сообщении от Среда 25 Январь 2006 08:36 Pavel S. Khmelinsky написал(a):
> Такая цепочка будет пропускать на вход только хост $trusted_host. В
> каких случаях целесообразно использовать RETURN догадаетесь сами. ;)
>
> А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы
> просто описались.)
               ^^^
  Одумался... :))  

   Да, начал читать ваше письмо и вспомнил что именно означает RETURN...

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  2006-01-25  0:17   ` Прончаков Артем Юрьевич
  2006-01-25  0:36     ` Pavel S. Khmelinsky
@ 2006-01-25  9:56     ` Aleksey Avdeev
  2006-01-25 10:07       ` Прончаков Артем Юрьевич
    2 siblings, 1 reply; 12+ messages in thread
From: Aleksey Avdeev @ 2006-01-25  9:56 UTC (permalink / raw)
  To: maniakius, ALT Linux Community

Прончаков Артем Юрьевич пишет:
> В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
> 
>>У вас случаем не squid?
>>Если да, то посмотрите конфиг, особенно http_port.
>>По-хорошему, squid должен слушать только внутреннюю сеть.
>>Примерно так:
>>http_port 192.168.0.1:3128
>>
>>А то есть подозрение, что юзают ваш проксик.
> 
> 
> Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!

  Apache стоит? (Он тоже умеет быть прокси.)

-- 

С уважением. Алексей.



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  2006-01-25  9:56     ` Aleksey Avdeev
@ 2006-01-25 10:07       ` Прончаков Артем Юрьевич
  0 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-25 10:07 UTC (permalink / raw)
  To: ALT Linux Community

В сообщении от Среда 25 Январь 2006 17:56 Aleksey Avdeev написал(a):
>   Apache стоит? (Он тоже умеет быть прокси.)
Нет. Опять же пока. 
В принципе все решилось нормальной настройкой файрвола(раньше стоял аппаратный 
роутер, который настраивался с десятого пинка). Трафик стал такой каким ему и 
положено быть. Но причина все же не найдена.

Из "левых" соединений были только соединения к ftp серверам(я так понимаю для 
обновлений ALT), но netstat говорил что данные не передавались и не 
принимались, просто connection established.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
    2006-01-24  5:59   ` rs
@ 2006-01-27  0:03   ` Прончаков Артем Юрьевич
  2006-01-27  0:14   ` Прончаков Артем Юрьевич
  2 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-27  0:03 UTC (permalink / raw)
  To: ALT Linux Community

В сообщении от Вторник 24 Январь 2006 13:49 rs написал(a):
Утром вот пришел на работу и увидел, что не смотря на то что разрешены только 
http,domain,ftp,pop3,smtp,icq, с пяти до шести утра было скачано 40 метров. 
Посмотрел /var/log/messages на всех компах, на одном сервере обнаружилось 
такое:
>Jan 27 05:01:01 ns crond(pam_unix)[4440]: session opened for user root by 
(uid=0)
>Jan 27 05:01:01 ns crond(pam_unix)[4440]: session closed for user root
>Jan 27 05:37:41 ns named[1487]: unexpected RCODE (15) resolving 
'ns.beotel.yu/AAAA/IN': 195.178.32.2#
>53
>Jan 27 05:38:45 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 
'mirrors.kernel.org/AAAA/IN': 2
>09.132.176.167#53
>Jan 27 05:38:46 ns named[1487]: lame server resolving 
'mirrors.kernel.org' (in 'kernel.org'?): 204.15
>2.191.4#53
>Jan 27 05:39:29 ns named[1487]: lame server resolving 
'mirror2.etf.bg.ac.yu' (in 'etf.bg.ac.yu'?): 14
>7.91.128.4#53
>Jan 27 05:39:43 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 
'stoneship.bc.nu/AAAA/IN': 66.1
>87.233.210#53
>Jan 27 05:48:03 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 
'srl.cs.jhu.edu/AAAA/IN': 128.2
>20.8.21#53
>Jan 27 05:48:04 ns named[1487]: unexpected RCODE (SERVFAIL) resolving 
'srl.cs.jhu.edu/AAAA/IN': 128.2
>20.8.20#53
>Jan 27 05:53:02 ns named[1487]: lame server resolving 'korn.csumb.edu' (in 
'csumb.EDU'?): 130.150.102
>.100#53
>Jan 27 05:53:59 ns named[1487]: lame server resolving 
'mirrors.kernel.org' (in 'kernel.org'?): 204.152.191.36#53

На этом компе стоит apache, но никаких портов с маршрутизатора к нему не 
проброшено. 

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
    2006-01-24  5:59   ` rs
  2006-01-27  0:03   ` Прончаков Артем Юрьевич
@ 2006-01-27  0:14   ` Прончаков Артем Юрьевич
  2 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-27  0:14 UTC (permalink / raw)
  To: ALT Linux Community

В сообщении от Вторник 24 Январь 2006 13:49 rs написал(a):
И еще! С 6 до 8 вечера вчера было три запроса к dhcp серверу на этом же компе.
Хотя их просто не могло быть в это время.

Посмотрел счетчики маскарадинга, нашел там 40 килобайт отправленных 
подозрительных данных с этого же сервера. 

Кстати, там же считается только исходящий трафик. А как считать и входящий 
тоже отдельно от входящего.

На FORWARD, INPUT и OUTPUT считается трафик всех клиентов, а на маскарадинге 
по каждому. только исходящий.


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] большой трафик
  @ 2006-01-31  7:19       ` Прончаков Артем
  0 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем @ 2006-01-31  7:19 UTC (permalink / raw)
  To: ALT Linux Community

В сообщении от Вторник 31 Январь 2006 15:11 Игорь написал(a):
>А зачем тебе оконный менеджер ночью?
 А где я писал что-то об оконном менеджере?
Да и какая разница в принципе??

^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2006-01-31  7:19 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-01-24  0:16 [Comm] большой трафик Прончаков Артем Юрьевич
2006-01-24  5:59   ` rs
2006-01-24  6:07     ` rs
2006-01-27  0:03   ` Прончаков Артем Юрьевич
2006-01-27  0:14   ` Прончаков Артем Юрьевич
2006-01-24 16:06 ` Michael Popov
2006-01-25  0:17   ` Прончаков Артем Юрьевич
2006-01-25  0:36     ` Pavel S. Khmelinsky
2006-01-25  7:43       ` Прончаков Артем Юрьевич
2006-01-25  9:56     ` Aleksey Avdeev
2006-01-25 10:07       ` Прончаков Артем Юрьевич
2006-01-31  7:19       ` Прончаков Артем

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git