Идет непонятный трафик на шлюза....

0

0

Есть комп на основе FC6... используеться как шлюз в инет.. на нем крутится squid.. sargem смотрю логи squida...

На шлюзе ни кто не работает и ни чего не качает....

но смотрю логи, а там постоянный трафик на шлюза идет... как-будто что-то трафик хавает с инета....
примерно такой:
с какого IP сколько скачано
81.177.13.10 702.88M
81.176.70.169 13.16M
66.199.246.196 2.73M
80.77.12.49 585
81.177.13.10 88.23M
81.176.70.169 5.39M
81.176.70.161 2.01M
212.162.6.212 18.23K
81.176.70.169 31.74M
81.176.70.161 7.05M
87.242.75.163 6.12M
66.199.246.196 788.07K
212.162.6.212 1.17K
81.176.70.161 586.77M
87.242.75.163 98.39M
81.176.70.169 7.05M
66.199.246.196 788.07K

Спрашивается: что за трафик такой? что качает?

Ссылка

←	cron и zenity непонятоное поведение

IP и домен

→

tcpdump на шлюзе запусти и посмотри.
а вообще-то 81.177.13.10 - это host10.raggame.ru
посмотри на www.raggame.ru - никаких догадок не возникает ?

sasha999 ★★★★
(25.06.07 12:57:53 MSD)

Ответ на: комментарий от sasha999 25.06.07 12:57:53 MSD

да я смотрел некоторые ip через whois..... вообще ни каких догадок..... к компу доступ только у меня.. а я на нем вообще ни чего ни делаю - стоит себе шлюз.. работает и работает.....

anonymous
(25.06.07 13:39:28 MSD)

Ответ на: комментарий от anonymous 25.06.07 13:39:28 MSD

а откуда эта статистика по траффику ? чем и где ее снимаешь ? вот эти 700 с гаком метров - это между кем и кем ?

sasha999 ★★★★
(25.06.07 13:44:07 MSD)

Ссылка

Ответ на: комментарий от anonymous 25.06.07 13:39:28 MSD

>а я на нем вообще ни чего ни делаю

Значит за тебя все уже сделали. 
Установили гейм-сервер например, 
спам шлют (host 87.242.75.163    163.75.242.87.in-addr.arpa domain name pointer mx.theabyss.ru.) 
и тд. и тп :-)

~~sdio~~ ★★★★★
(25.06.07 13:44:48 MSD)

Ответ на: комментарий от sdio 25.06.07 13:44:48 MSD

да ну нафиг! те кто ходит мимо компа трогать то его нерешаются, а ты говоришь установили сервер.... )))

anonymous
(25.06.07 13:52:01 MSD)

Ответ на: комментарий от anonymous 25.06.07 13:52:01 MSD

а ты что же - думаешь что тебя удаленно ломануть не могли ? наииивный... :)

sasha999 ★★★★
(25.06.07 13:54:55 MSD)

Ответ на: комментарий от sasha999 25.06.07 13:54:55 MSD

Тогда почему эта инфа попала в логи саржа? Т.е. ломанули, полставил сервак, и т.п. и пустили все это через локально запущенный прокси?

roy ★★★★★
(25.06.07 14:14:58 MSD)

Ответ на: комментарий от roy 25.06.07 14:14:58 MSD

во-во! и я про тоже!

на шлюзе мазила вообще не запускается! и в инет я с него не лазаю...

anonymous
(25.06.07 14:25:18 MSD)

Ссылка

Ответ на: комментарий от roy 25.06.07 14:14:58 MSD

Может и не ломали, а прокси торчит жопой в интернет, подключайся кто хочет!

~~sdio~~ ★★★★★
(25.06.07 14:46:05 MSD)

Ответ на: комментарий от sdio 25.06.07 14:46:05 MSD

нее.... это врядли....

acl в squide настроен на доступ только разрешенных адресов...

anonymous
(25.06.07 14:53:16 MSD)

Ссылка

Ответ на: комментарий от sdio 25.06.07 14:46:05 MSD

да все что угодно может быть. чел дал кусок данных непонятно чем и где считанных и хочет наверное чтобы мы угадали, что же там у него cлучилось.

sasha999 ★★★★
(25.06.07 14:55:00 MSD)

Ответ на: комментарий от sasha999 25.06.07 14:55:00 MSD

а так что надо давать то? :)

логин и пасс??? )))

anonymous
(25.06.07 15:00:56 MSD)

Ответ на: комментарий от anonymous 25.06.07 15:00:56 MSD

81.177.13.10 702.88M - получатель данных кто ?

sasha999 ★★★★
(25.06.07 15:06:06 MSD)

Ответ на: комментарий от sasha999 25.06.07 14:55:00 MSD

чего не понятного в логах sarga ????

все просто : адресс с какого качали и сколько качали.....

anonymous
(25.06.07 15:08:00 MSD)

Ссылка

Ответ на: комментарий от sasha999 25.06.07 15:06:06 MSD

Во всех случаях получатлеь - шлюз... IP (смотрящий в локалку)

я же написал - трафик идет на шлюз

anonymous
(25.06.07 15:10:41 MSD)

Ответ на: комментарий от anonymous 25.06.07 15:10:41 MSD

у тебя squid что ли прозрачный ?

sasha999 ★★★★
(25.06.07 15:20:06 MSD)

Ответ на: комментарий от sasha999 25.06.07 15:20:06 MSD

да, прозрачный... это что-то определяет??

anonymous
(25.06.07 15:23:16 MSD)

Ответ на: комментарий от anonymous 25.06.07 15:23:16 MSD

вот потому у тебя и source ip - это он сам. авторизации ессно никакой нет - так ? тогда tcpdump в зубы и лови клиента ;)

sasha999 ★★★★
(25.06.07 15:31:02 MSD)

Ответ на: комментарий от sasha999 25.06.07 15:31:02 MSD

ну да - авторизации нет....

кто-то с локалки пытаеться обойти прокси и качает на прямую?

anonymous
(25.06.07 15:35:10 MSD)

Ответ на: комментарий от sasha999 25.06.07 15:31:02 MSD

REDIRECT это по сути DNAT, так что адрес клиента (source IP) не меняется и должен попасть в лог сквида.

~~sdio~~ ★★★★★
(25.06.07 15:39:57 MSD)

Ссылка

Ответ на: комментарий от anonymous 25.06.07 15:35:10 MSD

ты вообще понимаешь что такое transparent squid ? ничего он не пытается, просто честно работает через твой проксюк. а понять кто - ты не сможешь, так как авторизации нет и в логах сквида поле "user" пустое, а clent_ip_address == proxy_ip_address

sasha999 ★★★★
(25.06.07 15:41:04 MSD)

Ответ на: комментарий от sasha999 25.06.07 15:41:04 MSD

> clent_ip_address == proxy_ip_address

Это с чего ты так вдруг решил? Я без проблем на прозрачном прокси вижу какой адрес ходил куда.

gruy ★★★★★
(25.06.07 23:58:13 MSD)

Ответ на: комментарий от gruy 25.06.07 23:58:13 MSD

честно говоря, сначала написАл, потом уже прочел комммент sdio и задумался - дествительно, dnat не изменит source_ip , а вот с настройками и версией сквида могут быть вопросы. сам подобное делал давно, но помню точно, что были подобные заморочки. а тут уж очень симптомы похожие.

sasha999 ★★★★
(26.06.07 08:22:53 MSD)

Ответ на: комментарий от sasha999 26.06.07 08:22:53 MSD

мнда.... господа..... вот так всегда! :))))) сперва ляпнем, а потом думаем.....

зыж вот скока уже юзаю линукс ни чего не изменилось - все теже самые вопросы и теже самые ответы.... ))))))))

anonymous
(01.07.07 14:41:26 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	cron и zenity непонятоное поведение

Admin

IP и домен

→

Похожие темы