LINUX.ORG.RU
ФорумSecurity

Проблемма ... Срочно ...


0

0 

Господа ...
 Наш трафик составляет 2Gb ... перерасход max соствляет 2Gb .. и того max в месяц скачиваем 4Gb ...
 НО, в последнем месяце (6м) по статистике провайдеров, объем скаченного оценивается в 7Gb ...
 
 В логах squid`ы ни чего не замеченно ... в maillog тоже вроде все впорядке ...

 что делать, куда смотреть, куда копать ....

????

помогайте ......
 за ночь трафик увеличился на 400mb (скаченно), а по моим логам только на 100mb ...


 что такое происходит???

NAT на forward открыт только на 5190 порт .. icq который ... остальное все через squid ...

Запущенны сервисы:
  mysql , httpd, pure-ftpd, php, openldap , curier-imap (pop3,imap), postfix, squid 

все программы последних версий ....

Собственно мой rc.firewall:

! /bin/sh
#
#	Настройка firewall
#
case "$1" in
'stop')
 iptables -F
 ;;
'start')
# сбрасываем все цепочки ...
 iptables -F
# разрешаем форвардить пакеты ...
 echo 1 > /proc/sys/net/ipv4/ip_forward
# устанавливаем политику для правил ...
 iptables -P INPUT ACCEPT
 iptables -P OUTPUT ACCEPT
 iptables -P FORWARD ACCEPT
#------------ закрываем mysql ------------------
  iptables -A INPUT -s 192.168.0.1/255.255.0.0 -p tcp -m tcp --dport 319 -j ACCEPT
  iptables -A INPUT -s ! 127.0.0.1/255.0.0.0 -p tcp -m tcp --dport 319 -j DROP
#------------ закроем smb для пользователей внешних сетей ...
  iptables -A INPUT -s 192.168.0.1/255.255.0.0 -p tcp -m tcp --dport 137 -j ACCEPT
  iptables -A INPUT -s ! 127.0.0.1/255.0.0.0 -p tcp -m tcp --dport 137 -j DROP
  iptables -A INPUT -s 192.168.0.1/255.255.0.0 -p tcp -m tcp --dport 138 -j ACCEPT
  iptables -A INPUT -s ! 127.0.0.1/255.0.0.0 -p tcp -m tcp --dport 138 -j DROP
  iptables -A INPUT -s 192.168.0.1/255.255.0.0 -p tcp -m tcp --dport 139 -j ACCEPT
  iptables -A INPUT -s ! 127.0.0.1/255.0.0.0 -p tcp -m tcp --dport 139 -j DROP
#------------ закрываем mysql ------------------
  iptables -A INPUT -s 192.168.0.1/255.255.255.0 -p tcp -m tcp --dport 3306 -j ACCEPT
  iptables -A INPUT -s 217.23.18.154/255.255.255.255 -p tcp -m tcp --dport 3306 -j ACCEPT
  iptables -A INPUT -s ! 127.0.0.1/255.255.255.0 -p tcp -m tcp --dport 3306 -j DROP
#------------ закроем proxy -------------------
  iptables -A INPUT -p tcp -s 192.168.0.1/255.255.255.0 --dport 3128 -j ACCEPT
  iptables -A INPUT -p tcp -s 127.0.0.1/255.255.255.0 --dport 3128 -j ACCEPT
  iptables -A INPUT -p tcp -s 0.0.0.0/0.0.0.0 --dport 3128 -j DROP
#------------ запрещаем пересылку пакетов на ads.web.icq.com (банеры icq)
  iptables -A FORWARD -d 64.12.174.185 -j DROP
  iptables -A FORWARD -d 64.12.174.249 -j DROP
  iptables -A FORWARD -d 152.163.208.57 -j DROP
  iptables -A FORWARD -d 152.163.208.121 -j DROP
  iptables -A FORWARD -d 152.163.208.185 -j DROP
  iptables -A FORWARD -d 152.163.208.249 -j DROP
  iptables -A FORWARD -d 205.188.165.57 -j DROP
  iptables -A FORWARD -d 205.188.165.121 -j DROP
  iptables -A FORWARD -d 205.188.165.185 -j DROP
  iptables -A FORWARD -d 205.188.165.249 -j DROP
  iptables -A FORWARD -d 64.12.174.57 -j DROP
  iptables -A FORWARD -d 64.12.174.121 -j DROP
# разрешаем проходить пакетам (icq) на порт 5190
 iptables -A FORWARD -p tcp --dport 5190 -s 192.168.0.2/255.255.0.0 -o eth0 -j ACCEPT
 iptables -t nat -A POSTROUTING -s 192.168.0.2/255.255.0.0 -o eth0 -j MASQUERADE -p tcp --to-port 5190

 iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -o eth0 -j DROP
 ;;
*)
 echo "usage $0 start|stop"
esac

galchyonok ★★
() автор топика
Ответ на: комментарий от galchyonok 

ps -A 
 ни каких лишних сервисов не выдает ...

Вот то что выдает tcpdump -i eth0  (-внешний интерфейс):
10:36:35.274127 p5080D85D.dip.t-dialin.net.65216 > mail.мой_домен.ru.4665: udp 18
10:36:35.274157 mail.мой_домен.ru > p5080D85D.dip.t-dialin.net: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.275097 mail.мой_домен.ru.32768 > ns3.nic.fr.domain:  47906 [1au][|domain] (DF)
10:36:35.297904 141.30.205.211.1036 > mail.мой_домен.ru.4665: udp 50 [tos 0x60] 
10:36:35.297952 mail.мой_домен.ru > 141.30.205.211: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.297907 245.Red-81-38-8.pooles.rima-tde.net.37052 > mail.мой_домен.ru.4665: udp 18 [tos 0x60] 
10:36:35.297973 mail.мой_домен.ru > 245.Red-81-38-8.pooles.rima-tde.net: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.315178 S01060020673be44b.ed.shawcable.net.gdp-port > mail.мой_домен.ru.4665: udp 50
10:36:35.315194 mail.мой_домен.ru > S01060020673be44b.ed.shawcable.net: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.317443 205-241-37-213.libre.auna.net.1039 > mail.мой_домен.ru.4665: udp 6
10:36:35.317470 mail.мой_домен.ru > 205-241-37-213.libre.auna.net: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.320929 205-241-37-213.libre.auna.net.1039 > mail.мой_домен.ru.4665: udp 6
10:36:35.320943 mail.мой_домен.ru > 205-241-37-213.libre.auna.net: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.330392 lns-p19-8-82-65-75-90.adsl.proxad.net.4559 > mail.мой_домен.ru.4665: udp 338
10:36:35.330418 mail.мой_домен.ru > lns-p19-8-82-65-75-90.adsl.proxad.net: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.334766 madjfppp.jazztel.es.4462 > mail.мой_домен.ru.4665: udp 18
10:36:35.334778 mail.мой_домен.ru > madjfppp.jazztel.es: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.341428 62-43-48-41.user.ono.com.1054 > mail.мой_домен.ru.4665: udp 18
10:36:35.341440 mail.мой_домен.ru > 62-43-48-41.user.ono.com: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.343341 ACCFCCDE.ipt.aol.com.3784 > mail.мой_домен.ru.4665: udp 6
10:36:35.343363 mail.мой_домен.ru > ACCFCCDE.ipt.aol.com: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.345207 ACCFCCDE.ipt.aol.com.3784 > mail.мой_домен.ru.4665: udp 6
10:36:35.345217 mail.мой_домен.ru > ACCFCCDE.ipt.aol.com: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.346311 dns3.nettica.com.domain > mail.мой_домен.ru.32768:  35519*-[|domain]
10:36:35.346361 stgo-ip229.adsl.ifxnw.cl.57425 > mail.мой_домен.ru.4665: udp 18
10:36:35.346374 mail.мой_домен.ru > stgo-ip229.adsl.ifxnw.cl: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.352827 ns3.nic.fr.domain > mail.мой_домен.ru.32768:  47906-[|domain]
10:36:35.353057 mail.мой_домен.ru.32768 > ns.ripe.net.domain:  61138 [1au][|domain] (DF)
10:36:35.376219 82-166-169-6.barak.net.il.3564 > mail.мой_домен.ru.4665: udp 18 [tos 0x60] 
10:36:35.376267 mail.мой_домен.ru > 82-166-169-6.barak.net.il: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0] 
10:36:35.392208 lns-vlq-27-82-255-161-190.adsl.proxad.net.3067 > mail.мой_домен.ru.4665: udp 6
10:36:35.392238 mail.мой_домен.ru > lns-vlq-27-82-255-161-190.adsl.proxad.net: icmp: mail.мой_домен.ru udp port 4665 unreachable [tos 0xc0]

galchyonok ★★
() автор топика

IMHO лучше пришлите netstat c опцией просмотра всех слущающих сокетов. (сорь на память не помню опции за виндой сижу).

И посмотрите реально ли там есть соответствие.

Потом даже если все на сервере совсем хорошо то Вас могут пинговать не спрашивая вашего согласия. Проанализируйте трафик на внешнем интерфейсе.

Aleks_IZA
()
Ответ на: комментарий от Aleks_IZA 

Трафик на внешнем интерфейсе с помощью tcpdump`а я привел ...
 мне не совсем понятны запросы на порт 4665 ... ;(
кто прокоментирует??

 Локальные пользователи практически не присутствуют .. только администратор(admin - от которого я работаю иногда), да еще и  root.
 остальных нету ....

соединится с сервером по telnet`у не льзя .. демон не поднять .. по ssh пароль подобрать .. - не реально .. к тому-же следов нет ...
  ssh последней версии ....


Прада на серваке этом samba крутиться .. но она на внутреннем интерфейсе висит .. да и на внешнем ее порты закрыты ....


по netstat -la усе нормально ....

galchyonok ★★
() автор топика
Ответ на: комментарий от galchyonok

самже видешь запросы на 4665 порт , а т.к. это udp то можно сделать вполне очевидный вывод , просто ты себе нажил врагов которые тебе и шлют эти самые пакеты (написать програмку которая будет это делать надо не более 2 минут, есдинственное что странно что пакеты маленькие).

anonymous
()
Ответ на: комментарий от anonymous

кстати обрати внимание , что пакеты идут с разных хостов , что ещё раз свидетельствует о том что это просто флуд, кстати закрыться от этого сам ты не сможешь и никакой фаервол тебе не поможет, только с помощью прова.

anonymous
()
Ответ на: комментарий от anonymous 

идея по поводу flood`а подходит ....
 но 500mb за день такими пакетами .... ;((



Хрень страны нашей :  у прова мини АТС сломалась ... -> я к ним дозвонится не могу .. ну как так ... Россия блин ...

galchyonok ★★
() автор топика
Ответ на: комментарий от galchyonok

А может кто-то поставил себе клиента edonkey и тянет файло?
Вот нашел:

Программа eDonkey для своей работы использует следующие порты и
протоколы:
- порт 4661, протокол TCP. Этот порт используют сервера, и именно к
этому порту подключаются пользователи. Указывается в настройках сервера.
- порт 4662, протокол TCP. По этому порту клиент eDonkey принимает
соединения от серверов и других пользователей. Меняется командой 'port
XXXXX' в правом нижнем окошке программы, 'XXXXX' заменяется на цифровой
номер порта.
- порт 4665, протокол UDP. Через этот порт сервер получает "поисковые"
запросы от пользователей, не зарегистрировавшихся на этом сервере (через
порт 4661). Указывается в настройках сервера.
- Любые другие порты, протоколы TCP и UDP. Используются клиентом eDoneky
для исходящих подключений.

anonymous
()
Ответ на: комментарий от galchyonok

Порт 4665. У вас завелся сучёныш с edonkey. Ищите крысу на корабле. Посмотрите, что у вас на внутреннем интерфейсе.

Obidos ★★★★★
()
Ответ на: комментарий от Obidos

>Порт 4665. У вас завелся сучёныш с edonkey. Ищите крысу на корабле. >Посмотрите, что у вас на внутреннем интерфейсе.

не слишком ли большой траффик для поисковика ?

anonymous
()
Ответ на: комментарий от galchyonok

> p2p сервес не пройдет

Не пройдёт он только когда вы применяете iptables-p2p. Сучёныш вполне может сидеть на "легальных" портах. И вообще, p2p -- довольно живучая пакость.

P.S. Для тех, кому кажется, что я ненавижу p2p-сети вообще. На рабочем месте, выставляя таким образом контору на бабки -- давить вместе с вором-качальщиком. Дома -- да хоть обкачайся. За свой счёт.

Obidos ★★★★★
()
Ответ на: комментарий от Obidos 

полностью согласен на счет p2p ...

Но ...
 если у меня на сервер правила:
  на INPUT DROP по портам 4660,4661,4662,4663,4664,4665

Но .. за ночь .. при таких вот правилах все равно 300-400mb упало на меня ... 

Сейчас разбираем этот вопрос вместе с проваждером ....
 просто жалко что моей конторе похоже придется из-за козлов каких-то оплатить 10труб  лишних ... за перерасход трафика .. на 5-6Gb ....

galchyonok ★★
() автор топика
Ответ на: комментарий от galchyonok

> на INPUT DROP по портам 4660,4661,4662,4663,4664,4665

Это по большому счёту бесполезно. Начиная от того, что крысёныш настроил своего осла (ed2k-клиента) на любой другой порт, кончая тем, что edonkey пакеты может 100%-но отлавливать (из известных мне) только указанная мной ранее примочка (это один из патчей к iptables из комплекта netfilter-ng).

> Сейчас разбираем этот вопрос вместе с проваждером

__Теоретически__ тут можно попробовать отмазаться (по крайней мере от части трафика), если от вас вообще не было никакого p2p-трафика, тогда (если провайдер пойдёт навстречу) _возможно_ это списать на флуд.

> просто жалко что моей конторе похоже придется из-за козлов каких-то

Эти козлы (p2p-шники) однозначно у вас в сетке. Ищите. Найдёте (логи трафика по _внутреннему_ интерфейсу, далее ревизия софта по всем машинам, не помогает -- сниффер) -- начальству докладную, пусть решает, что делать. Да, если набегает ночью -- ищите, какие машины на ночь не выключаются (не выключались, когда это произошло).

Уродов надо давить.

Obidos ★★★★★
()
Ответ на: комментарий от galchyonok

1) Политики по-умолчанию должны быть DROP, а не ACCEPT
2) Пользуйся тактикой "всё закрыть, а потом разрешить нужное"
3) Аську пускай через сквид с баннерорезалкой

Deleted
()
Ответ на: комментарий от Obidos

> Уродов надо давить.

# define MODERATOR

придержите эмоции при себе plz

#undef MODERATOR

что касается трафика, то, конечно, это может быть и осел, а может быть и флуд, поскольку в обеих случаях трафик идет из интернета в сторону хоста.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

> это может быть и осел, а может быть и флуд, поскольку в обеих случаях трафик идет из интернета в сторону хоста.

Просто очень похоже на недавно выключенного осла (как раз там такой трафик получается).

Obidos ★★★★★
()
Ответ на: комментарий от Obidos

Obidos: А вот зачем всех козлами то звать?? Вот ты скажи честно, ты как админ небось сам то пользуешься конторским инетом на халяву. Или я не прав?

Как там в басне про зеркало и мартышку...

Закрывать халявный инет ты в прве у работников, но вот на всех наезжать при этом не совсем хорошо.

anonymous
()
Ответ на: комментарий от anonymous

Касаемо козлов. Не я первый (по крайней мере в данном треде) назвал тех, кто ворует у конторы трафик, козлами.

> ты как админ небось сам то пользуешься конторским инетом на халяву.

Я ослом не пользуюсь, раз. Я не качаю музыку/фильмы, два. Не связанный с непосредственными рабочими обязанностями мой трафик -- этот и ещё пара форумов, три. Учитывая то, что трафик конторы -- анлим, я не выставляю её своими действиями на бабки, четыре.

> но вот на всех наезжать при этом не совсем хорошо.

Может, оно и так. В данном случае всего лишь названы обидным словом те, кто ворует.

Obidos ★★★★★
()
Ответ на: комментарий от Obidos

Если трафик конторы анлим, то и пользователи с e2k также не выставляют контору на бабки.

ЗЫ: Только не надо рассказывать про забивание канала. Это решается приоритезацией или ограничением трафика.

anonymous
()

Administrativa

Этические проблемы, связанные с p2p-сетями объявляются offtopic, особенно в такой форме обсуждения.

PS. Как дети малые, честное слово.

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security