LINUX.ORG.RU
ФорумAdmin

help! Качают гиги, скачут по портам!


0

0

Через наш шлюз прокачали около 4-х Гигов. Squid ничего не видит. Провайдер предоставил распечатку, где через наш шлюз проходит этот траффик, постоянно скача по портам типа 61353, 61269 и т.д. Как запретить? Где смотреть в slackware? Если можно, поподробнее, или ссылку хорошую: я отстал от темы, не занимался года полтора, а проблема серьезная, плз.

anonymous

Ответ на: комментарий от anonymous

Установлен apache_1.3.29. В принципе можно отключить - гораздо дороже ущерб. Посоветовали проверить tcpdump, но я ее запустить с командной строки не могу...

anonymous
()
Ответ на: комментарий от anonymous

Похоже на нее? Удаляю апача. Плз, у кого есть сооображения, помогите детям... Спасибо.

anonymous
()
Ответ на: комментарий от anonymous

>Посоветовали проверить tcpdump, но я ее запустить с командной строки не могу...

/usr/sbin/tcpdump от рута

mic ★★★★★
()
Ответ на: комментарий от mic

/usr/sbin/tcpdump - no such file or directory Не установлен в процессе инсталляции, похоже... Всего в подсетке 8 пользователей, и известно, какие дяди работали за каким компом... Не в жажде крови дело - как бы еще раз не полезли. А доят детскую библиотеку. Но в принципе, понятно, главное, чтобы не повторялось такого дела. Спасибо откликнувшимся. Надеюсь, сноса апача хватит...

anonymous
()
Ответ на: комментарий от anonymous

iptables -L
iptables -t nat -L
iptables -t mangle -L
в студию, может там мимо сквида можно коннектиться.
netstat -l ,что там у тебя за порты открыты...
Опиши суть дела подробнее, разберёмся я думаю )

dx_
()
Ответ на: комментарий от dx_

Библиотека, есть зал для пользователей(игры, интернет). Статистику менеджер считает по какой-то windows програмке. Она не заметила, как в воскресенье скачали 4 Гига, за который провайдер, естественно, выставил счет. Стали разбираться, и нашли, что закачка не отметилась также в логах сквида. В подробном листинге от провайдера(привести сейчас не могу) идет обращение к указанному адресу (82.208.14.97 - gamepark.cz) маленькими порциями через странные (для меня) порты типа 61353, 61269. Это самая яркая (по объему) закачка.

iptables не установлено.Пользуюсь ipchains, цепочка выглядит так: ifconfig eth1 192.168.2.1 netmask 255.255.255.0 up #squid ipchains -A input -p TCP -d 127.0.0.1/32 www -j ACCEPT ipchains -A input -p TCP -d 192.168.2.1/32 www -j ACCEPT ipchains -A input -s 192.168.2.0/24 -p TCP -d any/0 80 -j REDIRECT 3128

#ipfwadm -F -a m -S 192.168.2.0/24 -D 0.0.0.0/0 ipchains -P forward DENY ipchains -A forward -i eth0 -j MASQ

# ipchains -A input -i eth1 -d 192.168.2.1 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.4 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.10 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.11 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.12 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.13 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.14 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.15 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.16 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.17 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.18 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.19 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.20 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.21 -j ACCEPT ipchains -A input -i eth1 -s 192.168.2.22 -j ACCEPT ipchains -A input -i eth1 -j REJECT

anonymous
()
Ответ на: комментарий от dx_

netstat -l дает: Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:3128 *:* LISTEN tcp 0 0 *:2049 *:* LISTEN tcp 0 0 *:718 *:* LISTEN tcp 0 0 *:printer *:* LISTEN tcp 0 0 *:auth *:* LISTEN tcp 0 0 *:finger *:* LISTEN tcp 0 0 *:imap2 *:* LISTEN tcp 0 0 *:pop3 *:* LISTEN tcp 0 0 *:login *:* LISTEN tcp 0 0 *:shell *:* LISTEN tcp 0 0 *:telnet *:* LISTEN tcp 0 0 *:ftp *:* LISTEN tcp 0 0 *:time *:* LISTEN tcp 0 0 *:sunrpc *:* LISTEN udp 0 0 *:3130 *:* udp 0 0 *:1026 *:* udp 0 0 *:2049 *:* udp 0 0 *:715 *:* udp 0 0 *:ntalk *:* udp 0 0 *:biff *:* udp 0 0 *:time *:* udp 0 0 *:sunrpc *:* raw 0 0 *:icmp *:* 7 raw 0 0 *:tcp *:* 7 Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node Path unix 0 [ ACC ] STREAM LISTENING 68 /dev/log unix 0 [ ACC ] STREAM LISTENING 86 /dev/printer

Спасибо,dx.

anonymous
()
Ответ на: комментарий от smartly

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:3128 *:* LISTEN
tcp 0 0 *:2049 *:* LISTEN
tcp 0 0 *:718 *:* LISTEN
tcp 0 0 *:printer *:* LISTEN
tcp 0 0 *:auth *:* LISTEN
tcp 0 0 *:finger *:* LISTEN
tcp 0 0 *:imap2 *:* LISTEN
tcp 0 0 *:pop3 *:* LISTEN
tcp 0 0 *:login *:* LISTEN
tcp 0 0 *:shell *:* LISTEN
tcp 0 0 *:telnet *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 *:time *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
udp 0 0 *:3130 *:*
udp 0 0 *:1026 *:*
udp 0 0 *:2049 *:*
udp 0 0 *:715 *:*
udp 0 0 *:ntalk *:*
udp 0 0 *:biff *:*
udp 0 0 *:time *:*
udp 0 0 *:sunrpc *:*
raw 0 0 *:icmp *:* 7
raw 0 0 *:tcp *:* 7
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 0 [ ACC ] STREAM LISTENING 68 /dev/log
unix 0 [ ACC ] STREAM LISTENING 86 /dev/printer

anonymous
()
Ответ на: комментарий от anonymous

ifconfig eth1 192.168.2.1 netmask 255.255.255.0 up
#squid
ipchains -A input -p TCP -d 127.0.0.1/32 www -j ACCEPT
ipchains -A input -p TCP -d 192.168.2.1/32 www -j ACCEPT
ipchains -A input -s 192.168.2.0/24 -p TCP -d any/0 80 -j REDIRECT 3128

#ipfwadm -F -a m -S 192.168.2.0/24 -D 0.0.0.0/0
ipchains -P forward DENY
ipchains -A forward -i eth0 -j MASQ

#
ipchains -A input -i eth1 -d 192.168.2.1 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.4 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.10 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.11 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.12 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.13 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.14 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.15 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.16 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.17 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.18 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.19 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.20 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.21 -j ACCEPT
ipchains -A input -i eth1 -s 192.168.2.22 -j ACCEPT
ipchains -A input -i eth1 -j REJECT

anonymous
()
Ответ на: комментарий от anonymous

eth1 - это внешний или внутренний интерфейс?
Судя по правилам и адресам - это внутренний. Тогда внешний вообще ничем не закрыт. Или на внешнем у тебя всё равно нету реального ИП?

Ты откуда подвох ищешь - изнутри, или снаружи?

smartly ★★★
()
Ответ на: комментарий от smartly

eth1 - это внутренний интерфейс. Где искать, честно говоря, не знаю, думаем на внутреннего "казачка". Есть еще сомнения на предмет закачки какой-нибудь игрушки, потому что один из адресов, откуда скачивали - игровой. 82.208.14.97-gamepark.cz Но почему она прошла мимо squida... Как защитить внешнюю сеть? На внешнем-реальный IP. А эту цепочку ipchains я взял из инета. Спасибо.

anonymous
()
Ответ на: комментарий от anonymous

В файле /var/log/messages нашел сообщение (совпадает со временем, в которое закачали инфу, по сведениям провайдера): connection from 84.252.148.83 for 63229,21 connection from 84.252.148.83 for 63327,21 connection from 84.252.148.83 for 63250,21 Как защитить систему от внешних врагов с помощью ipchains? Помогите! Еще одна странная вещь: этот файл явно изменился за неделю: этих строк там не было!!! переставить linux?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin