* [Comm] большой трафик
@ 2006-01-24 0:16 Прончаков Артем Юрьевич
2006-01-24 16:06 ` Michael Popov
0 siblings, 2 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-24 0:16 UTC (permalink / raw)
To: ALT Linux Community, =?koi8-r?q?=C0=C0=C0?=
Доброго времени суток.
ALM 2.4
Имеется доступ в инет.
В последнее время начал замечать что трафик стал очень большой. По 300-400
мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров,
и это еще высокий показатель.
Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я
еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а
в это время никого на работе еще и близко нету....
Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления?
Или сам Linux... Как можно это посмотреть? Какие логи?
В /var/log/messages ничего нет, кроме freshclam, но он ругается что само
приложение нужно обновлять и ничего не скачивает.
Что это может быть и как это можно узнать?
Заранее благодарен.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
@ 2006-01-24 5:59 ` rs
2006-01-24 6:07 ` rs
2006-01-27 0:03 ` Прончаков Артем Юрьевич
2006-01-27 0:14 ` Прончаков Артем Юрьевич
2 siblings, 1 reply; 12+ messages in thread
From: rs @ 2006-01-24 5:59 UTC (permalink / raw)
To: community
Здравствуйте, Прончаков.
Вы писали 24 января 2006 г., 3:16:36:
> Доброго времени суток.
> ALM 2.4
> Имеется доступ в инет.
> В последнее время начал замечать что трафик стал очень большой. По 300-400
> мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров,
> и это еще высокий показатель.
> Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я
> еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а
> в это время никого на работе еще и близко нету....
> Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления?
> Или сам Linux... Как можно это посмотреть? Какие логи?
> В /var/log/messages ничего нет, кроме freshclam, но он ругается что само
> приложение нужно обновлять и ничего не скачивает.
> Что это может быть и как это можно узнать?
> Заранее благодарен.
netstat -a | grep LISTEN
а потом просто iptables'ом закрывай то что не нужно тебе
____________________________
С уважением,
системный администратор
СГТУ, каф."Системотехника"
AND
ЗАО "Тесар-СО",
Егоров Стас
ICQ:270805968
mailto:rs@sstu.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-24 5:59 ` rs
@ 2006-01-24 6:07 ` rs
0 siblings, 0 replies; 12+ messages in thread
From: rs @ 2006-01-24 6:07 UTC (permalink / raw)
To: community
Здравствуйте, Прончаков.
Вы писали 24 января 2006 г., 3:16:36:
>> Доброго времени суток.
>> ALM 2.4
>> Имеется доступ в инет.
>> В последнее время начал замечать что трафик стал очень большой. По 300-400
>> мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров,
>> и это еще высокий показатель.
>> Сделал скриптик, считающий пакеты на шлюзе(как вы помните нормальную систему я
>> еще не сделал), вот сегодня например в с 5--6 утра было скачано 30 метров, а
>> в это время никого на работе еще и близко нету....
>> Так вот, закралась мысль: Может это какое-то приложение выкачивает обновления?
>> Или сам Linux... Как можно это посмотреть? Какие логи?
>> В /var/log/messages ничего нет, кроме freshclam, но он ругается что само
>> приложение нужно обновлять и ничего не скачивает.
>> Что это может быть и как это можно узнать?
>> Заранее благодарен.
если netstat не поможет(может ночью коннекты), то лучше всего
поставить сниффер(я snort юзал в режиме сниффера) и о всё подробно
запишет
____________________________
С уважением,
системный администратор
СГТУ, каф."Системотехника"
AND
ЗАО "Тесар-СО",
Егоров Стас
ICQ:270805968
mailto:rs@sstu.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-24 0:16 [Comm] большой трафик Прончаков Артем Юрьевич
@ 2006-01-24 16:06 ` Michael Popov
2006-01-25 0:17 ` Прончаков Артем Юрьевич
1 sibling, 1 reply; 12+ messages in thread
From: Michael Popov @ 2006-01-24 16:06 UTC (permalink / raw)
To: maniakius, ALT Linux Community
У вас случаем не squid?
Если да, то посмотрите конфиг, особенно http_port.
По-хорошему, squid должен слушать только внутреннюю сеть.
Примерно так:
http_port 192.168.0.1:3128
А то есть подозрение, что юзают ваш проксик.
Прончаков Артем Юрьевич wrote:
> Доброго времени суток.
> ALM 2.4
> Имеется доступ в инет.
> В последнее время начал замечать что трафик стал очень большой. По 300-400
> мб/день, хотя инетом пользуются 4 человека и скачивают не более 10-15 метров,
> и это еще высокий показатель.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-24 16:06 ` Michael Popov
@ 2006-01-25 0:17 ` Прончаков Артем Юрьевич
2006-01-25 0:36 ` Pavel S. Khmelinsky
` (2 more replies)
0 siblings, 3 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-25 0:17 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
> У вас случаем не squid?
> Если да, то посмотрите конфиг, особенно http_port.
> По-хорошему, squid должен слушать только внутреннюю сеть.
> Примерно так:
> http_port 192.168.0.1:3128
>
> А то есть подозрение, что юзают ваш проксик.
Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!
В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и
т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего
передано не было.
Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол
порт недоступен, а если RETURN, то будет, правильно?
А в Линуксе по-умолчанию не стоит проверка обновлений? Например через apt-get
на ftp'шниках? Потому что пару раз замечал установленные соединения с ftp в
имени которого присутствует alt.
Немного посмотрел откуда ноги растут, нашел в synaptic списов фтп серверов,
некоторые из которых были выделены. Отключил все. Будет ли этого достаточно,
или есть еще где-то настройки?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-25 0:17 ` Прончаков Артем Юрьевич
@ 2006-01-25 0:36 ` Pavel S. Khmelinsky
2006-01-25 7:43 ` Прончаков Артем Юрьевич
2006-01-25 9:56 ` Aleksey Avdeev
2 siblings, 1 reply; 12+ messages in thread
From: Pavel S. Khmelinsky @ 2006-01-25 0:36 UTC (permalink / raw)
To: maniakius, ALT Linux Community
Прончаков Артем Юрьевич wrote:
>В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
>
>
>>У вас случаем не squid?
>>Если да, то посмотрите конфиг, особенно http_port.
>>По-хорошему, squid должен слушать только внутреннюю сеть.
>>Примерно так:
>>http_port 192.168.0.1:3128
>>
>>А то есть подозрение, что юзают ваш проксик.
>>
>>
>
>Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!
>В общем файрволом запретил все кроме пинга, http, ftp, dns, icq, почта, ну и
>т.д., т.е. все что необходимо. Ночь простоял, все нормально. Ничего лишнего
>передано не было.
>
>Кстати, я так понимаю если DROP, то не будет отправляться ответный пакет, мол
>порт недоступен, а если RETURN, то будет, правильно?
>
>
И да и нет. Насчет DROP верно. Насчет RETURN нет. RETURN это директива
файерволу вернуться в предыдущую таблицу и начать проверку правил
начиная с правила, следующего, за тем, которое явилось причиной
попадания в текущую таблицу. ;))))) Не очень понятно наверное
выразился..... На примере
1: iptables -A INPUT -j MYOWNTABLE
2: iptables -A INPUT -j ACCEPT
3: iptables -A MYOWNTABLE -s $trusted_host -j RETURN
4: iptables -A MYOWNTABLE -j DROP
Т.е. маршрут по правивам будет следующий:
1, далее 3 (т.к. -j MYOWNTABLE),
далее
если source_host = $trusted_host, то 2 (т.е. возвращаемся к
след. строке после вызова текущей таблицы)
иначе, 4, т.е. DROP.
Такая цепочка будет пропускать на вход только хост $trusted_host. В
каких случаях целесообразно использовать RETURN догадаетесь сами. ;)
А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы
просто описались.)
--
Pavel S. Khmelinsky <hmepas@yauza.ru>
System Administrator,
ISP Yauza Telecom
http://www.yauza.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-25 0:36 ` Pavel S. Khmelinsky
@ 2006-01-25 7:43 ` Прончаков Артем Юрьевич
0 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-25 7:43 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Среда 25 Январь 2006 08:36 Pavel S. Khmelinsky написал(a):
> Такая цепочка будет пропускать на вход только хост $trusted_host. В
> каких случаях целесообразно использовать RETURN догадаетесь сами. ;)
>
> А то что вы говорите (icmp connection refused) это REJECT. ( Возможно Вы
> просто описались.)
^^^
Одумался... :))
Да, начал читать ваше письмо и вспомнил что именно означает RETURN...
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-25 0:17 ` Прончаков Артем Юрьевич
2006-01-25 0:36 ` Pavel S. Khmelinsky
@ 2006-01-25 9:56 ` Aleksey Avdeev
2006-01-25 10:07 ` Прончаков Артем Юрьевич
2 siblings, 1 reply; 12+ messages in thread
From: Aleksey Avdeev @ 2006-01-25 9:56 UTC (permalink / raw)
To: maniakius, ALT Linux Community
Прончаков Артем Юрьевич пишет:
> В сообщении от Среда 25 Январь 2006 00:06 Michael Popov написал(a):
>
>>У вас случаем не squid?
>>Если да, то посмотрите конфиг, особенно http_port.
>>По-хорошему, squid должен слушать только внутреннюю сеть.
>>Примерно так:
>>http_port 192.168.0.1:3128
>>
>>А то есть подозрение, что юзают ваш проксик.
>
>
> Не, сквида нет. Пока. Но за совет на счет порта, спасибо, запомню!
Apache стоит? (Он тоже умеет быть прокси.)
--
С уважением. Алексей.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-25 9:56 ` Aleksey Avdeev
@ 2006-01-25 10:07 ` Прончаков Артем Юрьевич
0 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-25 10:07 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Среда 25 Январь 2006 17:56 Aleksey Avdeev написал(a):
> Apache стоит? (Он тоже умеет быть прокси.)
Нет. Опять же пока.
В принципе все решилось нормальной настройкой файрвола(раньше стоял аппаратный
роутер, который настраивался с десятого пинка). Трафик стал такой каким ему и
положено быть. Но причина все же не найдена.
Из "левых" соединений были только соединения к ftp серверам(я так понимаю для
обновлений ALT), но netstat говорил что данные не передавались и не
принимались, просто connection established.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-24 5:59 ` rs
@ 2006-01-27 0:03 ` Прончаков Артем Юрьевич
2006-01-27 0:14 ` Прончаков Артем Юрьевич
2 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-27 0:03 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Вторник 24 Январь 2006 13:49 rs написал(a):
Утром вот пришел на работу и увидел, что не смотря на то что разрешены только
http,domain,ftp,pop3,smtp,icq, с пяти до шести утра было скачано 40 метров.
Посмотрел /var/log/messages на всех компах, на одном сервере обнаружилось
такое:
>Jan 27 05:01:01 ns crond(pam_unix)[4440]: session opened for user root by
(uid=0)
>Jan 27 05:01:01 ns crond(pam_unix)[4440]: session closed for user root
>Jan 27 05:37:41 ns named[1487]: unexpected RCODE (15) resolving
'ns.beotel.yu/AAAA/IN': 195.178.32.2#
>53
>Jan 27 05:38:45 ns named[1487]: unexpected RCODE (SERVFAIL) resolving
'mirrors.kernel.org/AAAA/IN': 2
>09.132.176.167#53
>Jan 27 05:38:46 ns named[1487]: lame server resolving
'mirrors.kernel.org' (in 'kernel.org'?): 204.15
>2.191.4#53
>Jan 27 05:39:29 ns named[1487]: lame server resolving
'mirror2.etf.bg.ac.yu' (in 'etf.bg.ac.yu'?): 14
>7.91.128.4#53
>Jan 27 05:39:43 ns named[1487]: unexpected RCODE (SERVFAIL) resolving
'stoneship.bc.nu/AAAA/IN': 66.1
>87.233.210#53
>Jan 27 05:48:03 ns named[1487]: unexpected RCODE (SERVFAIL) resolving
'srl.cs.jhu.edu/AAAA/IN': 128.2
>20.8.21#53
>Jan 27 05:48:04 ns named[1487]: unexpected RCODE (SERVFAIL) resolving
'srl.cs.jhu.edu/AAAA/IN': 128.2
>20.8.20#53
>Jan 27 05:53:02 ns named[1487]: lame server resolving 'korn.csumb.edu' (in
'csumb.EDU'?): 130.150.102
>.100#53
>Jan 27 05:53:59 ns named[1487]: lame server resolving
'mirrors.kernel.org' (in 'kernel.org'?): 204.152.191.36#53
На этом компе стоит apache, но никаких портов с маршрутизатора к нему не
проброшено.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
2006-01-24 5:59 ` rs
2006-01-27 0:03 ` Прончаков Артем Юрьевич
@ 2006-01-27 0:14 ` Прончаков Артем Юрьевич
2 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем Юрьевич @ 2006-01-27 0:14 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Вторник 24 Январь 2006 13:49 rs написал(a):
И еще! С 6 до 8 вечера вчера было три запроса к dhcp серверу на этом же компе.
Хотя их просто не могло быть в это время.
Посмотрел счетчики маскарадинга, нашел там 40 килобайт отправленных
подозрительных данных с этого же сервера.
Кстати, там же считается только исходящий трафик. А как считать и входящий
тоже отдельно от входящего.
На FORWARD, INPUT и OUTPUT считается трафик всех клиентов, а на маскарадинге
по каждому. только исходящий.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] большой трафик
@ 2006-01-31 7:19 ` Прончаков Артем
0 siblings, 0 replies; 12+ messages in thread
From: Прончаков Артем @ 2006-01-31 7:19 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Вторник 31 Январь 2006 15:11 Игорь написал(a):
>А зачем тебе оконный менеджер ночью?
А где я писал что-то об оконном менеджере?
Да и какая разница в принципе??
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2006-01-31 7:19 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-01-24 0:16 [Comm] большой трафик Прончаков Артем Юрьевич
2006-01-24 5:59 ` rs
2006-01-24 6:07 ` rs
2006-01-27 0:03 ` Прончаков Артем Юрьевич
2006-01-27 0:14 ` Прончаков Артем Юрьевич
2006-01-24 16:06 ` Michael Popov
2006-01-25 0:17 ` Прончаков Артем Юрьевич
2006-01-25 0:36 ` Pavel S. Khmelinsky
2006-01-25 7:43 ` Прончаков Артем Юрьевич
2006-01-25 9:56 ` Aleksey Avdeev
2006-01-25 10:07 ` Прончаков Артем Юрьевич
2006-01-31 7:19 ` Прончаков Артем
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git