Прут левые пакеты на Debiane

[arthouse]

Добрый день ребят.
Требуется помощь гуру, сам пока не разобрался.
Имеется сервер на debian, держит почту, раздает инет.
У него же имеется тунель vtund с другим офисом, там тоже сервер на debian, он ходит в инет через первый сервер.
Vtund слушает порт 5002.
Вдруг недавно у нас стал работать очень медленно интернет. Прям заметно медленно! Беда
Стал смотреть логи и тд, запустил iptraf и вижу что с какой то катастрофической скоростью летят пакеты между соедением тунеля нашего.


Но на порту висит какая то служба RFE, которая при гугле дает какое то радио.
Смотрю PID этой службы, пытаюсь убить:

Код: Выделить всё

promk-t1:/etc/init.d# ps aux | grep rfe
root     27765  0.0  0.0   1652   280 pts/1    D+   12:34   0:00 grep rfe
promk-t1:/etc/init.d# kill 27765
bash: kill: (27765) - Нет такого процесса
promk-t1:/etc/init.d#

Или это он нашел мой запрос по этой службе?
Что сделать? Как быть?
Если останавливаю vtund, то сетевая активность пропадает, но ествественно пропадает инет во 2 офисе.

[Bizdelnick]

Но на порту висит какая то служба RFE

Почему Вы сделали такой вывод? Только потому что вместо порта указано "rfe"? У меня так обозначается 5002 порт:

Shell

% grep rfe /etc/services rfe 5002/udp # Radio Free Ethernet rfe 5002/tcp %

[arthouse]

Но на порту висит какая то служба RFE

Почему Вы сделали такой вывод? Только потому что вместо порта указано "rfe"? У меня так обозначается 5002 порт:

Shell

% grep rfe /etc/services rfe 5002/udp # Radio Free Ethernet rfe 5002/tcp %

Ну возможно мой вывод неверен, это первое что попалось так сказать.
Что-то траснлирует огромное кол-во пакетов через порт 5002.

[nerve]

добавь правило и заблочь этот порт чтоб снять нагрузку. а дальше уже разбирайся.
например поснифай кто в сети шлет пакеты на этот порт (ведь вряд ли это сам роутер инициирует)

насколько я понял - то что ты грепнул - это пид твоего грепа. он выполнился и поэтому ты уже не можешь убить этот пид.
для пущей ясности дописывай | grep -v grep в самом конце твоего грепа, чтоб исключить вывод пида самого грепа в списке процессов.

[arthouse]

добавь правило и заблочь этот порт чтоб снять нагрузку. а дальше уже разбирайся.
например поснифай кто в сети шлет пакеты на этот порт (ведь вряд ли это сам роутер инициирует)

насколько я понял - то что ты грепнул - это пид твоего грепа. он выполнился и поэтому ты уже не можешь убить этот пид.
для пущей ясности дописывай | grep -v grep в самом конце твоего грепа, чтоб исключить вывод пида самого грепа в списке процессов.

Если я заблочу порт то люди остануться без инета на второй стороне тунеля, ведь он висит на 5002. Поэтому приходится разбираться на ходу

[bormant]

arthouse
на месте порта 5002 и rfe -- это просто синонимы, мнемоническое имя берется из /etc/services.
Не хотите видеть мнемонические имена, отключите их показ, в настройках iptraf это возможно.

Исходя из

Vtund слушает порт 5002

в выделенной строчке вы видите весь трафик своего туннеля.

[arthouse]

arthouse
на месте порта 5002 и rfe -- это просто синонимы, мнемоническое имя берется из /etc/services.
Не хотите видеть мнемонические имена, отключите их показ, в настройках iptraf это возможно.

Исходя из

Vtund слушает порт 5002

в выделенной строчке вы видите весь трафик своего туннеля.

Я все это понимаю, трафика слишком много, есть что-то лишнее, как откапать это лишнее через этот порт?

[arthouse]

Инет стал тормозить внезапно, вот буквально недавно.
Может сервер ломанули, и используют

[nerve]

выше правильно обратили внимание: если ваш туннель ходит через этот порт, то тормозить может начать из-за возросшей активности по обеим сторонам туннеля.
значит надо блокировать все и разрешать хождение в туннель только по нужным портам и протоколам(заблочить юдп и все кроме 80 443 25 и тп портов) и адресам назначения.
а то вдруг у вас из удаленного офиса торенты качают через туннель.

[arthouse]

выше правильно обратили внимание: если ваш туннель ходит через этот порт, то тормозить может начать из-за возросшей активности по обеим сторонам туннеля.
значит надо блокировать все и разрешать хождение в туннель только по нужным портам и протоколам(заблочить юдп и все кроме 80 443 25 и тп портов) и адресам назначения.
а то вдруг у вас из удаленного офиса торенты качают через туннель.

Хорошо, а подскажите где можно прописать запрет на хождение через 5002 определенных портов? Оставить только инетовские, почту и еще пару да.

выше правильно обратили внимание: если ваш туннель ходит через этот порт, то тормозить может начать из-за возросшей активности по обеим сторонам туннеля.
значит надо блокировать все и разрешать хождение в туннель только по нужным портам и протоколам(заблочить юдп и все кроме 80 443 25 и тп портов) и адресам назначения.
а то вдруг у вас из удаленного офиса торенты качают через туннель.

Да и сетевая активность возросла вот так вдруг за день? Сомневаюсь...все таки думаю все хуже

[nerve]

на роутере со стороны второго офиса сделать дроп по умолчанию и разрешить только соединения с нужными адресами и/или портами.
разумеется не следует бездумно применять правила. как минимум подкорректировать под себя и разрешить хождение пакетов через vtund (заменить tun в примере на tap, например и тп) и через вторую "внешнюю" сетевую, которая в примере отсутствует.
хорошей практикой будет перед применением правил прописать правило в кроне, которое будет каждые 5 минут выключать или релоадить работающие правила фаервола.

Код: Выделить всё

*nat
:PREROUTING ACCEPT [155:14339]
:POSTROUTING ACCEPT [1:76]
:OUTPUT ACCEPT [1:76]
COMMIT
# Completed on Mon Apr  1 13:12:01 2013
# Generated by iptables-save v1.4.8 on Mon Apr  1 13:12:01 2013
*mangle
:PREROUTING ACCEPT [2019230:389378142]
:INPUT ACCEPT [2010035:388097827]
:FORWARD ACCEPT [2707:983060]
:OUTPUT ACCEPT [1319397:408844461]
:POSTROUTING ACCEPT [1321781:409811917]
COMMIT
# Completed on Mon Apr  1 13:12:01 2013
# Generated by iptables-save v1.4.8 on Mon Apr  1 13:12:01 2013
*filter
:INPUT DROP [143:13667]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp ! --tcp-flags SYN SYN -m state --state NEW -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i tun0 -p tcp -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT

[arthouse]

на роутере со стороны второго офиса сделать дроп по умолчанию и разрешить только соединения с нужными адресами и/или портами.
разумеется не следует бездумно применять правила. как минимум подкорректировать под себя и разрешить хождение пакетов через vtund (заменить tun в примере на tap, например и тп) и через вторую "внешнюю" сетевую, которая в примере отсутствует.
хорошей практикой будет перед применением правил прописать правило в кроне, которое будет каждые 5 минут выключать или релоадить работающие правила фаервола.

Код: Выделить всё

*nat
:PREROUTING ACCEPT [155:14339]
:POSTROUTING ACCEPT [1:76]
:OUTPUT ACCEPT [1:76]
COMMIT
# Completed on Mon Apr  1 13:12:01 2013
# Generated by iptables-save v1.4.8 on Mon Apr  1 13:12:01 2013
*mangle
:PREROUTING ACCEPT [2019230:389378142]
:INPUT ACCEPT [2010035:388097827]
:FORWARD ACCEPT [2707:983060]
:OUTPUT ACCEPT [1319397:408844461]
:POSTROUTING ACCEPT [1321781:409811917]
COMMIT
# Completed on Mon Apr  1 13:12:01 2013
# Generated by iptables-save v1.4.8 on Mon Apr  1 13:12:01 2013
*filter
:INPUT DROP [143:13667]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp ! --tcp-flags SYN SYN -m state --state NEW -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i tun0 -p tcp -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT

А если у меня уже нарулены правила? Может мне конфиги показать и там уже сообразить что дописать?

[nerve]

так будет даже лучше

[arthouse]

так будет даже лучше

чего показать сначала? iptables? Какую сторону?

[Bizdelnick]

Кто-то из юзеров торренты качает?
Что за айпишник на самом верху на Вашем скриншоте?

[arthouse]

Кто-то из юзеров торренты качает?
Что за айпишник на самом верху на Вашем скриншоте?

Нет, торренты не качаются, все закрыто.
IP адрес этот хз, сам смотрел его, ведет куда то в Китай, я дропнул его, больше не появляется.

[arthouse]

Блин...в статистике появились какие то новые китайские IP с пакетами, с моего внешнего адреса

Код: Выделить всё

┌27.16.243.122:11176                                                                      >     109                 5647       --A-          eth2          │
└promk-t1.g-service.ru:55837                                                              >     166               242209       -PA-          eth2          │
┌promk_v2.g-service.ru:45468                                                              >     159                17678       --A-          eth2          │
└promk-t1.g-service.ru:rfe                                                                >     149                20704       -PA-          eth2          │
┌promk-t1.g-service.ru:57295                                                              =       0                    0       ----          eth2          │
└95.32.63.229:50589                                                                       >       1                   46       --A-          eth2          │

Все хуже?

[bormant]

arthouse
Параноик какой-то. Сначала сам разрешил, потом кричит, кто здесь...
Нужно кого-то отрезать, пишИте правило и отрезайте. Не надо пугаться., если правило начинает срабатывать только на новых соединениях, для некоторых правил это нормально, все, читавшие ранее руководство, к этому готовы.

[arthouse]

Сервер просто достался по наследству, тут все сделано как то странно.
Я пока даже понять не могу что за firewall здесь установлен, при вызове iptables правил нет.
Нашел какой-то Stargazer описывающий что-то похожее на правила хождения. Но как то скудно там.
Сложно копаться в чужих мирах, особенно если сам не гуру.
Давайте вместе разберемся что за зверь, помогите пожалуйста.

[Bizdelnick]

при вызове iptables правил нет

iptables-save
Правила есть в любом случае. Что бы ни стояло, в конечном счёте оно работает через netfilter, родной интерфейс к которому - iptables.