Огромное кол-во подключений к серверу, баны, сквиды, расследования..

Имеем Дебиан сервер, на нем крутится сквид, мускуль, апач и локальный сайтик. Провайдер интернетов: пчелайн. Кол-во юзеров в локалке: 50, доступ к интернетам далеко не у всех есть. На вирусню виндомашины были проверены касперским и дрвеб кур ит.

Начал падать интернет и за ночь сервер гоняет тонны трафика при условии того что все юзеры спят. +Начали банить IP все крупные сайты.

cat /proc/net/ip_conntrack | wc -l — 6966

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n — 800 23.60.69.183 — 810 23.60.69.151

Вхуиз говорит нам, что это некий CDN, но именно он создает львиную долю трафика даже при условии, что сквид отключен.

Баним его айпитейблсом. Включаем сквид. Пытаемся войти в интернеты и тут нам при входе на любой сайтик Ошибка 130 (net::ERR_PROXY_CONNECTION_FAILED): Сбой при подключении к прокси-серверу

DNS провайдерский. Список конфигов: squid.conf, iptables-save, ifconfig, route -n Посмотреть конфиги можно тут http://pastebin.com/KRGLqKRj

blacklist, cdn, iptables, squid, билайн

DiWorm
(02.11.12 12:20:00 MSK)

13 комментариев

Squid proxy + World of warcraft + iptables

Собственно задача поднять WoW на виндовой машине, которая сидит в интернетах за прокси на сквиде. Пробовалось играться через софтины для HTTP-тунелирования, никак. Было принято решение лезть в темный лес(для меня). Итак, что вышло:

Лаунчер смог узнавать есть ли апдейты и скачивать их. Но к сожалению в игре при вводе логина и пароля сразу же вылетает ошибка «Соединение разорвано».

Вот список правил для лаунчера и самого ВоВ"а, но чего-то ему мало :( Может кто подскажет что делать?

#
# 192.168.0.51 = прокся, 192.168.0.74 = компьютер на котором пытаюсь поднять ВоВ
#
# Generated by iptables-save v1.4.8 on Thu Sep  6 15:13:41 2012
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 1119 -j DNAT --to-destination 192.168.0.74:1119
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 1119 -j DNAT --to-destination 192.168.0.74:1119
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 1120 -j DNAT --to-destination 192.168.0.74:1120
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 1120 -j DNAT --to-destination 192.168.0.74:1120
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 3724 -j DNAT --to-destination 192.168.0.74:3724
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 3724 -j DNAT --to-destination 192.168.0.74:3724
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 4000 -j DNAT --to-destination 192.168.0.74:4000
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 4000 -j DNAT --to-destination 192.168.0.74:4000
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 6112 -j DNAT --to-destination 192.168.0.74:6112
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 6112 -j DNAT --to-destination 192.168.0.74:6112
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 6113 -j DNAT --to-destination 192.168.0.74:6113
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 6113 -j DNAT --to-destination 192.168.0.74:6113
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 6114 -j DNAT --to-destination 192.168.0.74:6114
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 6114 -j DNAT --to-destination 192.168.0.74:6114
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 62443 -j DNAT --to-destination 192.168.0.74:62443
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 62443 -j DNAT --to-destination 192.168.0.74:62443
-A PREROUTING -p tcp -m tcp -d 192.168.0.51/32 --dport 6881:6999 -j DNAT --to-destination 192.168.0.74:6881-6999
-A PREROUTING -p udp -m udp -d 192.168.0.51/32 --dport 6881:6999 -j DNAT --to-destination 192.168.0.74:6881-6999
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 1119 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 1119 -j SNAT --to-source 192.168.0.51:1119
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 1119 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 1119 -j SNAT --to-source 192.168.0.51:1119
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 1120 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 1120 -j SNAT --to-source 192.168.0.51:1120
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 1120 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 1120 -j SNAT --to-source 192.168.0.51:1120
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 3724 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 3724 -j SNAT --to-source 192.168.0.51:3724
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 3724 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 3724 -j SNAT --to-source 192.168.0.51:3724
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 4000 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 4000 -j SNAT --to-source 192.168.0.51:4000
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 4000 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 4000 -j SNAT --to-source 192.168.0.51:4000
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 6112 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 6112 -j SNAT --to-source 192.168.0.51:6112
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 6112 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 6112 -j SNAT --to-source 192.168.0.51:6112
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 6113 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 6113 -j SNAT --to-source 192.168.0.51:6113
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 6113 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 6113 -j SNAT --to-source 192.168.0.51:6113
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 6114 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 6114 -j SNAT --to-source 192.168.0.51:6114
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 6114 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 6114 -j SNAT --to-source 192.168.0.51:6114
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 62443 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 62443 -j SNAT --to-source 192.168.0.51:62443
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 62443 -j SNAT --to-source 192.168.0.51
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 62443 -j SNAT --to-source 192.168.0.51:62443
-A POSTROUTING -p tcp -m tcp -d 192.168.0.74/32 --dport 6881:6999 -j SNAT --to-source 192.168.0.51:6881-6999
-A POSTROUTING -p tcp -m tcp -s 192.168.0.74/32 --sport 6881:6999 -j SNAT --to-source 192.168.0.51:6881
-A POSTROUTING -p udp -m udp -d 192.168.0.74/32 --dport 6881:6999 -j SNAT --to-source 192.168.0.51:6881-6999
-A POSTROUTING -p udp -m udp -s 192.168.0.74/32 --sport 6881:6999 -j SNAT --to-source 192.168.0.51:6881-6999
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 1119 -j DNAT --to-destination 192.168.0.74:1119
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 1119 -j DNAT --to-destination 192.168.0.74:1119
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 1120 -j DNAT --to-destination 192.168.0.74:1120
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 1120 -j DNAT --to-destination 192.168.0.74:1120
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 3724 -j DNAT --to-destination 192.168.0.74:3724
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 3724 -j DNAT --to-destination 192.168.0.74:3724
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 4000 -j DNAT --to-destination 192.168.0.74:4000
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 4000 -j DNAT --to-destination 192.168.0.74:4000
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 6112 -j DNAT --to-destination 192.168.0.74:6112
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 6112 -j DNAT --to-destination 192.168.0.74:6112
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 6113 -j DNAT --to-destination 192.168.0.74:6113
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 6113 -j DNAT --to-destination 192.168.0.74:6113
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 6114 -j DNAT --to-destination 192.168.0.74:6114
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 6114 -j DNAT --to-destination 192.168.0.74:6114
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 62443 -j DNAT --to-destination 192.168.0.74:62443
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 62443 -j DNAT --to-destination 192.168.0.74:62443
-A OUTPUT -p tcp -m tcp -d 192.168.0.51/32 --dport 6881:6999 -j DNAT --to-destination 192.168.0.74:6881-6999
-A OUTPUT -p udp -m udp -d 192.168.0.51/32 --dport 6881:6999 -j DNAT --to-destination 192.168.0.74:6881-6999
COMMIT
# Completed on Thu Sep  6 15:13:41 2012
# Generated by iptables-save v1.4.8 on Thu Sep  6 15:13:41 2012
*filter
:INPUT ACCEPT [69623:24232995]
:FORWARD ACCEPT [587:31212]
:OUTPUT ACCEPT [79415:41270582]
COMMIT
# Completed on Thu Sep  6 15:13:41 2012
# Generated by iptables-save v1.4.8 on Thu Sep  6 15:13:41 2012
*mangle
:PREROUTING ACCEPT [76582:26019753]
:INPUT ACCEPT [74691:25905329]
:FORWARD ACCEPT [590:31356]
:OUTPUT ACCEPT [84190:42325552]
:POSTROUTING ACCEPT [85036:42394152]
COMMIT
# Completed on Thu Sep  6 15:13:41 2012

Близарды утверждают, что это полный список портов, но что-то я сомневаюсь. http://eu.battle.net/support/ru/article/firewall-configuration-for-blizzard-g...

iptables, squid, world of warcraft

DiWorm
(06.09.12 15:28:46 MSK)

13 комментариев

Squid.conf с 0.

Здравствуйте, упал 1 из серверов, на нем прокся была, информация утеряна безвозвратно, нужно было поднять новый проксик, вот наваял конфиг, делаю это 1 раз, нужны советы и указания на ошибки, так же приму предложения о том как сделать лучше. Вот конфиг http://pastebin.com/1p4e9fV2 Конфиг писался исходя из статей на опен-нета.

config, debian, squid

DiWorm
(30.08.12 09:35:12 MSK)

8 комментариев

Сообщения DiWorm

Огромное кол-во подключений к серверу, баны, сквиды, расследования..

Squid proxy + World of warcraft + iptables

Squid.conf с 0.