| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
 Добавлено: Вт Янв 17 2006 10:46 Заголовок сообщения: Беда с траффиком!!! |
 |
|
В общем, сложилась у меня такая щекотливая ситуация. Имеется сервака по Мандракой 9.0, который является шлюзом в Инет. Для учета траффика по юзверям стоит Squid + Sarg. Потребовалось составить отчет по траффику за декабрь. Выдал по всем машиная(15 шт. в трех подсетках)общий траф где-то 2,6 гига. А недавно пришел счет от провайдера на оплату аж 13(!!!) гигов.  В результате контора попала на огромные деньги. Связывался с техподдержкой нашего провайдера(доступ осуществляется по ADSL). Прислали детализацию, но в детализаций доступа в Инет указан IP-адрес x.x.x.241, (провайдер утверждает, что этот адрес принадлежит нам)хотя у нашего сервака IP x.x.x.242. Еще раз проверил логи Squid - все чисто, никто постороний через прокси не лазил. Подскажите, как такое может быть???  |
|
| Вернуться к началу |
|
 |
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 10:52 Заголовок сообщения: |
|
|
у вашего сервака может и 242 а в вашей подсети еще есть же ip адреса? XXX - это маска??
Не один же внешний адрес дал прова вам?? Мог кто нить подцепить этот ip(те другой, не сервера с твоей проксей) и напрямую, минуя твой прокси, сразу на модем(в режиме моста??) лазать в интернет и качать все что хочет.
Короче - уточни ВЕСЬ диапазон ip адресов своей внешней подсетки, которые вам дал прова и поищи там этот номер - нарушитель.
_________________
All is not lost!  |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 10:57 Заголовок сообщения: |
|
|
| Цитата: | у вашего сервака может и 242 а в вашей подсети еще есть же ip адреса? XXX - это маска??
Не один же внешний адрес дал прова вам?? Мог кто нить подцепить этот ip(те другой, не сервера с твоей проксей) и напрямую, минуя твой прокси лазать в интренет и качать все что хочет. |
xxx - это не маска. По подсетям все в порядке. Но у провайдера по адресу xxx.xxx.xxx.242 - все пусто, статистика у прова по нуялм по нему. Такое ощущение, что кто-то подрубился к 241 адресу, а этого не вижу. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:10 Заголовок сообщения: |
|
|
| LordBayne писал(а): | | Цитата: | у вашего сервака может и 242 а в вашей подсети еще есть же ip адреса? XXX - это маска??
Не один же внешний адрес дал прова вам?? Мог кто нить подцепить этот ip(те другой, не сервера с твоей проксей) и напрямую, минуя твой прокси лазать в интренет и качать все что хочет. |
xxx - это не маска. По подсетям все в порядке. Но у провайдера по адресу xxx.xxx.xxx.242 - все пусто, статистика у прова по нуялм по нему. Такое ощущение, что кто-то подрубился к 241 адресу, а этого не вижу. |
Как пусто - это ваш ip сервера, где прокся стоит....хотите сказать, что кто - то "стоит" между вами и провой и заворачивает трафик на себя?
Но прова же должен знать, что 241 это НЕ ВАШ адрес(если это так на самом деле!)! Тогда почему ВАМ эти предъявы?
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:19 Заголовок сообщения: |
|
|
Модем мостом стоит или шлюзом???
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 11:22 Заголовок сообщения: |
|
|
| Модем стоит шлюзом |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:23 Заголовок сообщения: |
|
|
| LordBayne писал(а): | | Модем стоит шлюзом |
Ха! А какой у него ip тогда???
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:26 Заголовок сообщения: |
|
|
Так ну начнем с того что провайдер вам дает как минимум 3-ip адреса.
1. Адерс который вы должны установить на физический интерфейс.
2. Адрес который выступает в роли gateway.
3. Адрес DNS.
Я так понял 242 это ваш ip, я 241 это ваш gateway.
Ну и где тут неразбериха? Или я чего-то не понимаю? Вы попросите детальные настройки у своего провайдера!
На счет потери трафика, сразу хочу предупредить что на ваши 2,6 Гига набросьте еще 10% процентов и это будет примерной суммое выставляемой провайдером. От куда взялись 13 Гб. ХЗ!
Если возникает подозрение что кто-то заварачивает трафик, то просто сделайте трассировку!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:27 Заголовок сообщения: |
|
|
| LordBayne писал(а): | | Модем стоит шлюзом |
Вы наверное хотели сказать что комп на котори модем стоит шлюзом!!! А не модем!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:30 Заголовок сообщения: |
|
|
| McZim писал(а): | Так ну начнем с того что провайдер вам дает как минимум 3-ip адреса.
1. Адерс который вы должны установить на физический интерфейс.
2. Адрес который выступает в роли gateway.
3. Адрес DNS.
Я так понял 242 это ваш ip, я 241 это ваш gateway.
Ну и где тут неразбериха? Или я чего-то не понимаю? Вы попросите детальные настройки у своего провайдера!
На счет потери трафика, сразу хочу предупредить что на ваши 2,6 Гига набросьте еще 10% процентов и это будет примерной суммое выставляемой провайдером. От куда взялись 13 Гб. ХЗ!
Если возникает подозрение что кто-то заварачивает трафик, то просто сделайте трассировку! |
Извини....я не согласен...
адрес шлюза (DSL модема) может быть единственным и он же и будет адресом интерфейса, если модем работает в режиме роутера+Нат; адрес DNS совсем из другой подсети (он вообще может у провы быть х...й знает где...)
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
Dizzy
Зарегистрирован: 06.06.2003
Сообщения: 130
|
| Добавлено: Вт Янв 17 2006 11:31 Заголовок сообщения: |
|
|
| Все правильно, у провайдера скорее всего подсеть /30, сервер (241), клиент (242). провайдер считает траффик у себя на интерфейсе и формально он прав. Вероятно, что-то с настройкой Squid + Sarg, точнее сказать не могу в unix-системах не силен. |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:32 Заголовок сообщения: |
|
|
меня вообще интересует вопрос, модем сам по себе живет или он прицеплен к компу?
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:32 Заголовок сообщения: |
|
|
| McZim писал(а): | | LordBayne писал(а): | | Модем стоит шлюзом |
Вы наверное хотели сказать что комп на котори модем стоит шлюзом!!! А не модем! |
И опять он правильно ответил...DSL модем запросто конфигурируется и как шлюз+файер+Нат...
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:34 Заголовок сообщения: |
|
|
| dio писал(а): | | адрес DNS совсем из другой подсети (он вообще может у провы быть х...й знает где...) |
А разве я сказал что DNS обязательно должен находиться у прова??? Я всего лишь сказал что пров дает его адрес клиенту!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:35 Заголовок сообщения: |
|
|
| dio писал(а): | | McZim писал(а): | | LordBayne писал(а): | | Модем стоит шлюзом |
Вы наверное хотели сказать что комп на котори модем стоит шлюзом!!! А не модем! |
И опять он правильно ответил...DSL модем запросто конфигурируется и как шлюз+файер+Нат... |
Я не спорю с этим! Просто можно запутаться, вот и все!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:35 Заголовок сообщения: |
|
|
| McZim писал(а): | | меня вообще интересует вопрос, модем сам по себе живет или он прицеплен к компу? |
Конечно к компу...или к хабу/свитчу....
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:37 Заголовок сообщения: |
|
|
| McZim писал(а): | | dio писал(а): | | адрес DNS совсем из другой подсети (он вообще может у провы быть х...й знает где...) |
А разве я сказал что DNS обязательно должен находиться у прова??? Я всего лишь сказал что пров дает его адрес клиенту! |
Дает...но не факт (и скорее всего!) что из другой подсети! Или свой делай DNS но тогда надоть еще один ip внешний из ТВОЕЙ однако подсети...не я тоже не спорю, просто уточняю...
_________________
All is not lost!
Последний раз редактировалось: dio (Вт Янв 17 2006 11:47), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:37 Заголовок сообщения: |
|
|
| dio писал(а): | | McZim писал(а): | | меня вообще интересует вопрос, модем сам по себе живет или он прицеплен к компу? |
Конечно к компу...или к хабу/свитчу.... |
Если он прицеплен к компу, тогда смысл его конфигурить как nat+router??? А сам по себе живет это имелось ввиду что он на каком либо порту хаба!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:40 Заголовок сообщения: |
|
|
| Dizzy писал(а): | | Все правильно, у провайдера скорее всего подсеть /30, сервер (241), клиент (242). провайдер считает траффик у себя на интерфейсе и формально он прав. Вероятно, что-то с настройкой Squid + Sarg, точнее сказать не могу в unix-системах не силен. |
Посмотрите в squid acl и http_access кому и куда и что можно...
а sarg что...его напускают уже на лог сквида после ротации...стоп, а вы за какой срок "оценивали" лог сквида?? Точно ли за тотже, что и прова??? Посмотрите еще раз!
_________________
All is not lost!
Последний раз редактировалось: dio (Вт Янв 17 2006 11:44), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:43 Заголовок сообщения: |
|
|
| McZim писал(а): | | dio писал(а): | | McZim писал(а): | | меня вообще интересует вопрос, модем сам по себе живет или он прицеплен к компу? |
Конечно к компу...или к хабу/свитчу.... |
Если он прицеплен к компу, тогда смысл его конфигурить как nat+router??? А сам по себе живет это имелось ввиду что он на каком либо порту хаба! |
Как смысл??? А на компе прокся(которой все пользуются из локалки)!!!! Вот и смысл!!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:46 Заголовок сообщения: |
|
|
sarg в отчете прямо пишет за какой срок этот отчет - проверьте еще раз!!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:47 Заголовок сообщения: |
|
|
Я о том что если комп и модем прицеплены, то лучше сделать настройки на компе, а не на модеме!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:49 Заголовок сообщения: |
|
|
| McZim писал(а): | | Я о том что если комп и модем прицеплены, то лучше сделать настройки на компе, а не на модеме! |
И почему же лучше?? Все авторы UNIX пишут, что НЕ надо использовать UNIX в качестве маршрутизатора-брандмауэра(если есть возможность пользовать аппаратный роутер), а ты говоришь лучше....а так у тебя получается програмно-аппаратный роутер-файер на базе ADSL модема...что надежнее. Не CISCO конечно....хотя может у него и CISCO кто его знает!!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 11:52 Заголовок сообщения: |
|
|
Лучше тем что получаем гибкость в настройке фаервола и в маршрутизации пакетов. Если бы у него стоял Cisco я думаю подобных вопросов бы не возникало.
Мы откланились уже от темы, давай ка помогать челу!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:53 Заголовок сообщения: |
|
|
| McZim писал(а): | | Я о том что если комп и модем прицеплены, то лучше сделать настройки на компе, а не на модеме! |
Может и лучше...с финансовой точки зрения  Хотя смотря какой комп и какой модем!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:53 Заголовок сообщения: |
|
|
| McZim писал(а): | Лучше тем что получаем гибкость в настройке фаервола и в маршрутизации пакетов. Если бы у него стоял Cisco я думаю подобных вопросов бы не возникало.
Мы откланились уже от темы, давай ка помогать челу! |
Давай конечно...а где чел? Чего молчит??
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 11:55 Заголовок сообщения: |
|
|
| McZim писал(а): | Лучше тем что получаем гибкость в настройке фаервола и в маршрутизации пакетов. Если бы у него стоял Cisco я думаю подобных вопросов бы не возникало.
Мы отклонились уже от темы, давай ка помогать челу! |
И мы с тобой не отклонялись от темы...мы молодцы. Чел это прочтет и получит массу инфы, кстати и возможно не только он один. Получился прямо FAQ по локалке и методах ее подключения
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 12:02 Заголовок сообщения: |
|
|
_________________
Я странный... |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 13:28 Заголовок сообщения: |
|
|
| К сведению: модем Aus.Linx LAN, подключен к одной из сетевух компьютера, другая сетевуха смотрит в локалу. А адрес с окончанием на 241 - гейт провайдера. Но адреса нашего сервака и прова оличаются только на последнюю цифру. В локале 15 машин. Я че-то не понимаю, как это возможно всем, даже при всем старании выдать такой траффик на 13 гигов?! Лично я сомневаюсь, что мы могли за месяц выдать такой офигенный траффик. Народ у нас в основном только почту проверяет(отправляет) да и в Инет лазит изредка, никто почти и не качает ничего. В Сквиде ACL прописаны, смотрел логи - ничего подозрительного не обнаружил, в смысле, никто к нам не подрубался. |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 13:42 Заголовок сообщения: |
|
|
Трасеровкой проверь как пакет идет!?
_________________
Я странный... |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 13:43 Заголовок сообщения: |
|
|
| Вот думаю вместо SAMS юзать, вместо SARG. Не очень-то нравится мне SARG |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 14:11 Заголовок сообщения: |
|
|
| Цитата: | Трасеровкой проверь как пакет идет!?
|
Имеется в виду traceroute? |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 14:20 Заголовок сообщения: |
|
|
Да.
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 14:34 Заголовок сообщения: |
|
|
ребята...я так и не пойму, зачем тут что - то трассить? Всего 2 ip один наш, другой шлюз прова...пусть разбирается с логами, скорее всего там причина.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 17 2006 14:43 Заголовок сообщения: |
|
|
Мне просто интересно пакет идет от них к прову или нет?
_________________
Я странный... |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Янв 17 2006 15:35 Заголовок сообщения: |
|
|
Хотелось бы видеть от автора темы ответы на пару вопросов:
1. (примерно это уже спрашивал уважаемый dio, но ответа я что-то не видел) Кто-либо, кроме ответственных лиц, имеет физический доступ к DSL-модему? Ну так, на всякий случай, не мог подключиться кто-то ВМЕСТО вашего проки-сервера. Посмотрите логи сервера, не "падал" ли у него внешний интерфейс неоправданно?
2. А "мимо" сквида у вас точно трафик не может пройти? Скажем, ftp, Аська, p2p как рулятся? Игрулечки типа CS не пролазят по udp ?
Мораль. Не считайте трафик сквидом. Тщательно проверьте дырявость фаервола и вообще возможности выхода в инет через вашу систему. Запросите у прова детальную статистику по портам. Не было ли аналогичного по объему исходящего трафика?
PS Ах да! Ко второму вопросу прикрутите еще почту. Не по почте ли вы этот трафик получили?
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Янв 17 2006 15:57 Заголовок сообщения: |
|
|
| McZim писал(а): | | ...На счет потери трафика, сразу хочу предупредить что на ваши 2,6 Гига набросьте еще 10% процентов и это будет примерной суммое выставляемой провайдером... |
Не согласный я. См. выше. Логи сквида УДОБНО анализировать, чтобы видеть кто куда ходил ЧЕРЕЗ сквид. В этих логах абсолютно ничего нет на тему "О прошедших мимо squid'а"
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Янв 17 2006 16:11 Заголовок сообщения: |
|
|
| LordBayne писал(а): | | ...думаю вместо SAMS юзать, вместо SARG... |
Без разницы, если проблема скрыта во втором моем вопросе.
Ысчо туда же. Неверно сконфигурированный DNS-сервер (поставленный, например, для поддержки Active Directory в локалке) может сгенерить а-... абалденный трафик.
Так что к прову за подробностями. И срочно. |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 16:42 Заголовок сообщения: |
|
|
| Cвязался с провайдером. Прислали по факсу расшифровку по IP-адресам, по входящему зарубежному и россйскому траффику. Наибольшее кол-во траффика (зарубежного, причем) приходится на xxx.xxx.xxx.242, но есть там еще неизвестные адресочки xxx.xxx.xxx.222, 223 Смотрел логи Сквида - ничего не обнаружил. Есть траффик еще по нашему, 241 адресу, но он меньше. Причем даты, на которы приходится большое количество траффика - последние дни декабря, в остальное время трафф был почти ничтожным. Сделал трассировку этих подозрительных адресочков, узнал что оттуда идут пакеты на 241-й адрес. Что сие может значить? |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 16:44 Заголовок сообщения: |
|
|
| LordBayne писал(а): | | Cвязался с провайдером. Прислали по факсу расшифровку по IP-адресам, по входящему зарубежному и россйскому траффику. Наибольшее кол-во траффика (зарубежного, причем) приходится на xxx.xxx.xxx.242, но есть там еще неизвестные адресочки xxx.xxx.xxx.222, 223 Смотрел логи Сквида - ничего не обнаружил. Есть траффик еще по нашему, 241 адресу, но он меньше. Причем даты, на которы приходится большое количество траффика - последние дни декабря, в остальное время трафф был почти ничтожным. Сделал трассировку этих подозрительных адресочков, узнал что оттуда идут пакеты на 241-й адрес. Что сие может значить? |
тогда уж делай whois ip_addr
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 16:45 Заголовок сообщения: |
|
|
| Цитата: | Неверно сконфигурированный DNS-сервер (поставленный, например, для поддержки Active Directory в локалке) может сгенерить а-... абалденный трафик.
|
Отвечаю - Active Directory в локалке нет, и используются два DNS провайдера. И как понимать, что они могут "сгенерить обалденный траффик"? |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Вт Янв 17 2006 16:57 Заголовок сообщения: |
|
|
| Узнал! Эти неизвестные адреса числятся в базе ripn.net как принадлежащие нашему провайдеру. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Вт Янв 17 2006 16:58 Заголовок сообщения: |
|
|
как ты это узнал?Многие адреса могут прове принадлежать - это не факт, что он за них отвечает.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Янв 17 2006 17:11 Заголовок сообщения: |
|
|
| LordBayne писал(а): | | Cвязался с провайдером. Прислали по факсу расшифровку по IP-адресам, по входящему зарубежному и россйскому траффику... |
Да хоть по межгалактическому трафику. Требуйте долива пива после отстоя пены! Детализация ПО ПОРТАМ. Типа cisco netflow примерно так:
s_ip s_port d_ip d_port proto packets bytes time
| LordBayne писал(а): | | Наибольшее кол-во траффика (зарубежного, причем) приходится на xxx.xxx.xxx.242, но есть там еще неизвестные адресочки xxx.xxx.xxx.222, 223 Смотрел логи Сквида - ничего не обнаружил. Есть траффик еще по нашему, 241 адресу, но он меньше. |
Так в итоге, сколько адресов выделил вам провайдер? Диапазон адресов, их распределение, маска, адрес шлюза (можно с ХХХ). ADSL-модем подключен непосредственно к вашему серверу или в свитч/хаб?
| LordBayne писал(а): | | Причем даты, на которы приходится большое количество траффика - последние дни декабря, в остальное время трафф был почти ничтожным. |
Дык Новый Год, поздравления чудесными зашибиССкими мультимедиа-открыточками... Ну и тебе вот "подарочек".
| LordBayne писал(а): | | Сделал трассировку этих подозрительных адресочков, узнал что оттуда идут пакеты на 241-й адрес. Что сие может значить? |
А что значит "идут на 241-й адрес"? Может, маршрут через него проходит.
ЗЫ до завтрева
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Ср Янв 18 2006 05:55 Заголовок сообщения: |
|
|
| a-m-d писал(а): | | McZim писал(а): | | ...На счет потери трафика, сразу хочу предупредить что на ваши 2,6 Гига набросьте еще 10% процентов и это будет примерной суммое выставляемой провайдером... |
Не согласный я. См. выше. Логи сквида УДОБНО анализировать, чтобы видеть кто куда ходил ЧЕРЕЗ сквид. В этих логах абсолютно ничего нет на тему "О прошедших мимо squid'а" |
В свою чередь я не согласне с вами! Сквид не будет считать битые пакеты, т.е. когда идет запрос на тот или иной пакет он может, по пути следования, быть битым, тогда всвязи с этим последует перезапрос этого пакета!
Софтовые считалки любого рода не считают такой трафик. А вот на стороне провайдера обязано и скорее всего стоит апаратная считалка, а вот она как раз считает все подряд!
Вот от сюда и беруться эти 10%.
_________________
Я странный... |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Янв 18 2006 09:40 Заголовок сообщения: |
|
|
| McZim писал(а): | ...В свою чередь я не согласне с вами! Сквид не будет считать битые пакеты, т.е. когда идет запрос на тот или иной пакет он может, по пути следования, быть битым, тогда всвязи с этим последует перезапрос этого пакета!
Софтовые считалки любого рода не считают такой трафик. А вот на стороне провайдера обязано и скорее всего стоит апаратная считалка, а вот она как раз считает все подряд!
Вот от сюда и беруться эти 10%. |
Боюсь, что не в битых пакетах дело. Вряд ли они идут издалека - первый же маршрутизатор их скорее всего и прибьет. IMHO. А если их много доходит до конечного потребителя, то, опять же IMHO, прежде всего надо проверять путь "своя внешняя сетевуха - провода - оборудование провайдера".
Меня бы гораздо больше озаботил трафик, который squid в принципе не может учитывать. И такого трафика может оказаться сильно больше 10%.
А что считает считалка на стороне провайдера и какая она, точно можно узнать только от самого провайдера.
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Ср Янв 18 2006 12:41 Заголовок сообщения: |
|
|
| Цитата: | Софтовые считалки любого рода не считают такой трафик. А вот на стороне провайдера обязано и скорее всего стоит апаратная считалка, а вот она как раз считает все подряд!
|
Что это за аппаратные считалки такие? Просто интересно узанть про них. И какие типы этих "считалок" существуют в природе? |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Ср Янв 18 2006 13:04 Заголовок сообщения: |
|
|
Делается все просто...рассматривайте продукцию таких компаний например как Zyxel, D-Link, Cisco.
_________________
Я странный... |
|
| Вернуться к началу |
|
|
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
| Добавлено: Ср Янв 18 2006 14:41 Заголовок сообщения: |
|
|
мдя приобрел недавненько ZyXeL adsl модемчик. почитал сие пост чуть плохо не стало...
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Ср Янв 18 2006 14:48 Заголовок сообщения: |
|
|
Причем здесь модем? И по некоторым изделиям компанию не судят.
_________________
Я странный... |
|
| Вернуться к началу |
|
|
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
| Добавлено: Ср Янв 18 2006 14:52 Заголовок сообщения: |
|
|
| McZim писал(а): | | Причем здесь модем? И по некоторым изделиям компанию не судят. |
Ты не понял меня.. я не об этом говорил
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Янв 18 2006 15:19 Заголовок сообщения: |
|
|
| tatlink писал(а): | | мдя приобрел недавненько ZyXeL adsl модемчик. почитал сие пост чуть плохо не стало... |
| tatlink писал(а): | | McZim писал(а): | | Причем здесь модем?.. |
Ты не понял меня.. я не об этом говорил |
А и правда, о чем ты тогда? Поясни, плиз. |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Ср Янв 18 2006 15:24 Заголовок сообщения: |
|
|
Связался с техсуппортом провайдера. Спросил, возможно ли предоставить детализацию траффика по портам. Ответили, что сделать этого не могут.  Заодно сказали, что вполне вероятно что открыты порты на нашем серваке, следовательно, траффик идет через них. Посканировал порты nmap-ом. Выдал сие:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
854/tcp open unknown
873/tcp open rsync
2401/tcp open cvspserver
3128/tcp open squid
3306/tcp open mysql
|
|
| Вернуться к началу |
|
|
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
| Добавлено: Ср Янв 18 2006 15:24 Заголовок сообщения: |
|
|
ну я типа о том,что LordBayne использует ADSL прова для подлючения к Инету и мне предстаит тоже самое сделать. вернее уже делаю..эти проблемы немного испугали меня когда я читал пост. хотя у меня все получеться хорошо
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Ср Янв 18 2006 15:36 Заголовок сообщения: |
|
|
| Цитата: | | ну я типа о том,что LordBayne использует ADSL прова для подлючения к Инету и мне предстаит тоже самое сделать. вернее уже делаю..эти проблемы немного испугали меня когда я читал пост. хотя у меня все получеться хорошо |
Пугаться вовсе не надо! Сам дома ADSL доступ использую - проблем никаких. Вот почему этот вопрос меня очень и удивил. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Янв 18 2006 15:46 Заголовок сообщения: |
|
|
Продолжая гнуть свою линию...
Ответь мне, пожалуйста, на один только вопрос... :
- Какой трафик из перечисленного тобой учитывается squid'ом?
... и поймешь, что разница между твоими 2,6 Г и предъявленными провайдером (13 Г) могла бы быть и гораздо значительнее.
| LordBayne писал(а): | ...Посканировал порты nmap-ом. Выдал сие:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
854/tcp open unknown
873/tcp open rsync
2401/tcp open cvspserver
3128/tcp open squid
3306/tcp open mysql
|
Кстати, откуда сканировал? "снаружи"?
PS Возвращаясь к напечатанному. Про неверное конфигурирование DNS-сервера. Самоприсвоенная зона+форвардинг неразрешенных самостоятельно запросов+неотключенная рекурсия+не ограниченный обмен файлами зон=ядерная смесь.
PPS СтОит подумать, какие сервисы действительно должны быть доступны извне, а также должны ли они быть доступны всем?
_________________
Век живи - век учись!.. Дураком помрёшь.
Последний раз редактировалось: a-m-d (Ср Янв 18 2006 16:02), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Янв 18 2006 15:52 Заголовок сообщения: |
|
|
Домашнее подключение обычно действительно доставляет меньше хлопот (но контролировать трафик все же стОит ).
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Ср Янв 18 2006 16:42 Заголовок сообщения: |
|
|
В дополнение к сканированию портов вашего шлюза снаружи, на самОм шлюзе посмотрите командой sockstat какие сервисы слушают эти порты. Также полезно поглядеть netstat -l и с другими ключиками.
Я так и не понял, какие из адресов 100% ваши, как вы их используете, какова схема подключения и степень доступности оборудования для посторонних.
a'la:
| Цитата: |
провайдером выдано 8 адресов : подсеть ххх.ххх.ххх.0 маска подсети 255.255.255.248
ххх.ххх.ххх.0 - адрес подсети - никому не назначается;
ххх.ххх.ххх.7 - широковещательный для подсети, никому не назначается;
ххх.ххх.ххх.1 - шлюз, ADSL-модем (оборудование провайдера);
ххх.ххх.ххх.2 - сервер доступа в инет для локалки;
остальные пока не назначены.
ADSL-модем воткнут в хаб. Туда же подключена внешняя карта вашего сервера. Туда же будут подключены корпоративные web- и mail- сервера. Оборудование замуровано в бункере, куда волшебным образом может попасть только супердоверенное лицо количеством в одну харю. В бункер заходит электропитание и ADSL, из бункера выходит один шнурок к локалке и одна т/ф линия, посему несанкционированные подключения практически исключены...
Еще куча подробностей и вопросы:"Как узнать сейчас кто скоммуниздил трафик? Как узнавать это в будущем? А, главное, как этого постараться избежать?"
|
ЗЫ Я не издеваюсь. Просто для ответов это нужно знать, и посылать наверх не хотелось.
ЗЗЫ опять до завтрева ! |
|
| Вернуться к началу |
|
|
PashaP
Зарегистрирован: 06.06.2005
Сообщения: 113
|
| Добавлено: Ср Янв 18 2006 17:06 Заголовок сообщения: |
|
|
| На один только спам очень много трафика уходит. |
|
| Вернуться к началу |
|
|
Pingvinenok
Зарегистрирован: 30.06.2005
Сообщения: 171
|
| Добавлено: Чт Янв 19 2006 06:58 Заголовок сообщения: |
|
|
| LordBayne писал(а): | Посканировал порты nmap-ом. Выдал сие:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
854/tcp open unknown
873/tcp open rsync
2401/tcp open cvspserver
3128/tcp open squid
3306/tcp open mysql
|
Елы-палы... И вам все они нужны? Или вы об этом просто не знали? Если все это так выглядит снаружи, то просто деньги за трафик 13 Гиг -без кучи других возможных проблем - считайте, что вам повезло...
Iptables(а оные вообще включены?) - в студию! Только, ради вас самих, замените ваш реальный IP.
З.Ы. Готовлю отчет для ученого сообщества о собственной борьбе за контролем трафика. На днях вынесу на обозрение.
_________________
Съешь еще мягких французских булок,да выпей чаю! |
|
| Вернуться к началу |
|
|
tatlink
Зарегистрирован: 19.05.2005
Сообщения: 361
Откуда: Уфа
|
| Добавлено: Чт Янв 19 2006 07:20 Заголовок сообщения: |
|
|
| a-m-d писал(а): |
Домашнее подключение обычно действительно доставляет меньше хлопот (но контролировать трафик все же стОит ). |
Вот именно что я поднимаю не домашнее подключение а в офисе.
_________________
Хочешь знать правду? Читай таблицу умножения. |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Чт Янв 19 2006 12:09 Заголовок сообщения: |
|
|
Перечитав тему еще раз
2 LordBayne Просю пардону, это сообщения пропустил:
| LordBayne писал(а): | | К сведению: модем Aus.Linx LAN, подключен к одной из сетевух компьютера, другая сетевуха смотрит в локалу. А адрес с окончанием на 241 - гейт провайдера. Но адреса нашего сервака и прова оличаются только на последнюю цифру... |
Приношу извинения еще раз.
Тем не менее, чего-то не хватает.
Сколько всего адресов вам выдано (какая маска)?
Модем ваш или провайдера (кто его конфигурирует и отвечает)?
241 - адрес шлюза, выданный провом. Так? А кому он назначен? Не ADSL-модему ли?
| LordBayne писал(а): | | Модем стоит шлюзом |
Если модем ваш, отвечаете за него и кофигурируете его вы и IP-адрес модема 241 (ведь на 241 приходится львиная доля трафика?) - возможно, что он как-то неверно сконфигурирован и кто-то сумел этим воспользоваться.
Если же это оборудование провайдера и 241 тоже провайдера - попробуйте "отбрыкаться", мол за неверно сконфигурированное провайдером оборудование вы ответственность нести не можете. И оплачивать тоже.
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 19 2006 12:21 Заголовок сообщения: |
|
|
| Pingvinenok писал(а): | | LordBayne писал(а): | Посканировал порты nmap-ом. Выдал сие:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
854/tcp open unknown
873/tcp open rsync
2401/tcp open cvspserver
3128/tcp open squid
3306/tcp open mysql
|
Елы-палы... И вам все они нужны? Или вы об этом просто не знали? Если все это так выглядит снаружи, то просто деньги за трафик 13 Гиг -без кучи других возможных проблем - считайте, что вам повезло...
Iptables(а оные вообще включены?) - в студию! Только, ради вас самих, замените ваш реальный IP.
З.Ы. Готовлю отчет для ученого сообщества о собственной борьбе за контролем трафика. На днях вынесу на обозрение. |
Не хочется начинать, но я могу на спор выставить сервак с открытыми (по написанному выше) портами и даю гарантию, что вы не сделаете того, о чем пишете, те - ничего не сломаете. Кстати, дело даже не в открытых портах совсем! Если у вас работает допустим, web сервер, - вы все равно этот порт откроете, и для smtp тоже, если есть такой....и тд без открытых портов для нужных служб НЕ ОБОЙТИСЬ - так что не надо ахов и охов. МАЛО иметь насторенный iptables-надо ЗНАТЬ как защитить те службы, которые уже работают наружу (и должны быть открыты!) и иметь систему обнаружения вторжений, СОПРЯЖЕННУЮ с файерволом, вот тогда, может быть, вы защититесь от чего - то или кого - то...но чтобы все это ПРАВИЛЬНО настроить, надо быть спецом по безопасности и не таким, как бывшие дармоеды из силовых структур, а именно спецом в сетях и системах, а такие люди на такие форумы не ходят, я вас уверяю
_________________
All is not lost!
Последний раз редактировалось: dio (Чт Янв 19 2006 12:23), всего редактировалось 2 раз(а) |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Чт Янв 19 2006 12:22 Заголовок сообщения: |
|
|
Попробуйте объясниться с провайдером, возмите и сообща решите эту проблему. Если они не захотят разоьраться то скажите что отказываетесь от их услуг без дальнейше оплаты трафика, тогда они может быть и захотят разобраться. Вы разговаривали ведь со специалистами тех отдела!? Поробуйте выйти на руководителей, если тех отдел не дает вам объяснений!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Чт Янв 19 2006 12:25 Заголовок сообщения: |
|
|
собственно непонятно ОДНО - почему предъявляют за ip, котрые вам НЕ принадлежать??
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
Pingvinenok
Зарегистрирован: 30.06.2005
Сообщения: 171
|
| Добавлено: Пт Янв 20 2006 07:29 Заголовок сообщения: |
|
|
2 Dio
| Цитата: | | Не хочется начинать, но я могу на спор выставить сервак с открытыми (по написанному выше) портами и даю гарантию, что вы не сделаете того, о чем пишете, те - ничего не сломаете. Кстати, дело даже не в открытых портах совсем! Если у вас работает допустим, web сервер, - вы все равно этот порт откроете, и для smtp тоже, если есть такой....и тд без открытых портов для нужных служб НЕ ОБОЙТИСЬ - так что не надо ахов и охов. МАЛО иметь насторенный iptables-надо ЗНАТЬ как защитить те службы, которые уже работают наружу (и должны быть открыты!) и иметь систему обнаружения вторжений, СОПРЯЖЕННУЮ с файерволом, вот тогда, может быть, вы защититесь от чего - то или кого - то...но чтоб |
И к чему все это?
Ежу понятно, что если 80 порт нужен для работы, то его нужно открыть.
Ежу понятно, что если 80 порт нужно открыть, его же нужно и защищать\контролировать всеми доступными средствами
Но если вы попали на 13 гиг, и при этом(и только после этого!), просканировав себя, узнали приведенный выше список открытых портов, то, мягко говоря, есть повод задуматься. И об этих открытых портах - в первую очередь![/b]
_________________
Съешь еще мягких французских булок,да выпей чаю! |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Пт Янв 20 2006 09:18 Заголовок сообщения: |
|
|
Дело в том, что насколько мне известно, платят за входящий траффик при пользовании ADSL. Возникает вопрос - каким образом приведенные выше открытые порты могут на него(на входящий траффик) повлиять?? Что по вашему мнимый нарушитель-злопыхатель будет закачивать в вашу подсеть (на ваш сервер?) в ГИГАБАЙТНОМ объеме, используя эти порты?? Вот в чем дело и вот почему я это сказал - нет никакой связи между этими открытыми портами и "пропажей" траффика. Автору еще раз рекомендую уточнить претензии прова по поводу траффика от ip адресов, НЕ ПРИНАДЛЕЖАЩИХ вам и самому разобраться в логах как следует.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
Pingvinenok
Зарегистрирован: 30.06.2005
Сообщения: 171
|
| Добавлено: Пт Янв 20 2006 10:11 Заголовок сообщения: |
|
|
2 dio
С этим согласен.
Но могу представить следующую ситуацию, к примеру:
Дано:
Провайдер, имеющий "домашние" сети
Внутренний трафик по таким сетям для конечного пользователя стоит во много раз дешевле внешнего.
User установил у себя прокси, не позаботившись о соответ. защите.
Macho_User юзает его прокси практически бесплатно.
Возможно? Просто как например? Думаю, да.
_________________
Съешь еще мягких французских булок,да выпей чаю! |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Пн Янв 23 2006 16:15 Заголовок сообщения: |
|
|
| dio писал(а): | | Pingvinenok писал(а): | | LordBayne писал(а): | Посканировал порты nmap-ом. Выдал сие:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
854/tcp open unknown
873/tcp open rsync
2401/tcp open cvspserver
3128/tcp open squid
3306/tcp open mysql
|
Елы-палы... И вам все они нужны? Или вы об этом просто не знали? Если все это так выглядит снаружи, то просто деньги за трафик 13 Гиг -без кучи других возможных проблем - считайте, что вам повезло...
Iptables(а оные вообще включены?) - в студию! Только, ради вас самих, замените ваш реальный IP.
З.Ы. Готовлю отчет для ученого сообщества о собственной борьбе за контролем трафика. На днях вынесу на обозрение. |
Не хочется начинать, но я могу на спор выставить сервак с открытыми (по написанному выше) портами и даю гарантию, что вы не сделаете того, о чем пишете, те - ничего не сломаете. Кстати, дело даже не в открытых портах совсем! Если у вас работает допустим, web сервер, - вы все равно этот порт откроете, и для smtp тоже, если есть такой....и тд без открытых портов для нужных служб НЕ ОБОЙТИСЬ - так что не надо ахов и охов. МАЛО иметь насторенный iptables-надо ЗНАТЬ как защитить те службы, которые уже работают наружу (и должны быть открыты!) и иметь систему обнаружения вторжений, СОПРЯЖЕННУЮ с файерволом, вот тогда, может быть, вы защититесь от чего - то или кого - то...но чтобы все это ПРАВИЛЬНО настроить, надо быть спецом по безопасности и не таким, как бывшие дармоеды из силовых структур, а именно спецом в сетях и системах, а такие люди на такие форумы не ходят, я вас уверяю |
Можно попдробней описать процесс блокировки сетевых портов и сетевых служб? Какими средствами можно ограничить доступ к тому или иному порту и обнаружить попытку сканирования и взлома? Просветите темного, плиз |
|
| Вернуться к началу |
|
|
LordBayne
Зарегистрирован: 11.11.2005
Сообщения: 63
|
| Добавлено: Пн Янв 23 2006 23:56 Заголовок сообщения: |
|
|
| Vasyl писал(а): | Наговорили, не дочитаешь...
Так чьи же в конечном итоге адреса xxx.xxx.xxx.222, 223 ???
С 241 всё приблизтельно понятно - если не у провайдера, то это момед (попробуй пойти на него telnetом).
Пока не выяснены 222 и 223 смысла думать про порты да службы никакого... |
Cвязался с провайдером для дачи пояснений - сказали, что это их "технологические" (думаю, что адреса ИХ сервера) адреса, но траффик по ним совсем мизерный. Пробил эти адреса через ripn.net - действительно принадлежат прову, ни на какую другую контору не зарегены.
Судя по всему, они и не хотят разбираться в причинах превышения трафика. Собираемся менять провайдера. Скоро опишу ход этого "боя без правил"
P.S. Возращаясь к вышенаписанному: так какие лекарства можете посоветовать, чтобы это впредm не повторялось? Какими средствами в Линуксе осуществляется защита сетевых портов и обнаружение попыток взлома? |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Янв 24 2006 09:18 Заголовок сообщения: |
|
|
Конкретные лекарства посоветуют те, кто хорошо знает Linux, а общими словами:
1. Обеспечение физической безопасности оборудования;
2. Создание корпоративной политики доступа в инет. Всем под роспись;
3. Настройка (конфигурирование) ОС шлюза;
4. Запуск только необходимых сервисов;
5. Корректная конфигурация всех запускаемых сервисов (apache, named, ssh, ftp, *mail* и т.д.);
6. Контроль работы сервисов. На начальном этапе эксплуатации - тщательный, в дальнейшем - периодический (логи);
7. Настройка фаервола. Контроль его работы/сообщений (iptables);
8. Установка и настройка какой-нибудь системы обнаружения вторжений (IDS. например, snort);
9. Установка и настройка системы подсчета трафика;
10. Обеспечение антивирусной безопасности.
Думаю, что примерно так. Порядок необязательно такой. Дополняем / поправляем / конкретизируем...
_________________
Век живи - век учись!.. Дураком помрёшь.
Последний раз редактировалось: a-m-d (Вт Янв 24 2006 09:23), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 24 2006 09:20 Заголовок сообщения: |
|
|
Та зачем здесь разводить демогогию? В Инете полным пално документации по поводу обеспечения безопасности серверов, различных функциональностей!!!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Вт Янв 24 2006 09:34 Заголовок сообщения: |
|
|
Ага. прально. ну его нафиг этого парня!
Так что ли?
По-моему, это как раз то, что крайне желательно сделать (хотя у самого и не так и не все), чтобы потом не было перерасхода трафика или этот прерасход можно было бы вычислить.
Конечно, про настройку апача можно найти вагон док. Тут их никто и не собирается пересказывать.
Еще к списку:
0. Планирование схемы доступа в инет и к сервисам (что к чему через что получает доступ).
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005
Сообщения: 275
Откуда: Omsk
|
| Добавлено: Вт Янв 24 2006 09:43 Заголовок сообщения: |
|
|
Я считаю что:
1. Нужно вести четкую и строгую политику среди пользователей. Что-бы пользователи четко представляли что если админ так сделал значит так надо, а не то что куда попало натыкали, а все равно админ исправит.
2. Нужен определенный опыт и знание (уверреность в себе).
Ну и грубо говоря все..... .....все остальное - это документация!
_________________
Я странный... |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
