Левый трафик

Osorkon · Сообщение **Osorkon** » 24.08.2006 19:55

есть сеть на дюжену машин. поднят роутер на Сусе 10,0. на нем естественно iptables и squid. трафик считается саргом и IAM for squid. все бы ничего но показания "локального" посчета трафика по логам сквида не совпадает с показаниями у прова. причем несколько раз. и это сильно удручает шефа, т. к некого поиметь за перерасход лимита трафа в месяц (выделенка, не безлимитка). в связи с эти вопрос. где может проходить утечка трафа? вариант что дурит пров исключается. привожу вывод iptables -L -v:

Код: Выделить всё

Chain INPUT (policy DROP 1328 packets, 254K bytes)
 pkts bytes target     prot opt in     out     source               destination
  850 71196 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
  343 29526 ACCEPT     icmp --  any    any     anywhere             anywhere
 177K   68M bad_tcp_packets  tcp  --  any    any     anywhere             anywhere
 106K   13M ACCEPT     all  --  eth1   any     192.168.1.0/24       anywhere
  742  129K ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     all  --  eth1   any     anywhere             192.168.1.255
 121K   64M ACCEPT     all  --  ppp+   any     anywhere             anywhere            state RELATED,ESTABLISHED
  199 13253 tcp_packets  tcp  --  ppp+   any     anywhere             anywhere
 1258  252K udp_packets  udp  --  ppp+   any     anywhere             anywhere
    0     0 icmp_packets  icmp --  ppp+   any     anywhere             anywhere
    0     0 DROP       all  --  ppp+   any     anywhere             BASE-ADDRESS.MCAST.NET/8

Chain FORWARD (policy DROP 142 packets, 6928 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere
  567  146K ACCEPT     tcp  --  ppp+   any     anywhere             anywhere            tcp spt:pop3
  340 14348 ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpt:pop3
    0     0 ACCEPT     tcp  --  ppp+   any     anywhere             anywhere            tcp spt:smtp
    0     0 ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpt:smtp
    0     0 ACCEPT     all  --  any    any     anywhere             217.198.131.177
    0     0 ACCEPT     all  --  any    any     217.198.131.177      anywhere
 6074  356K ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpt:quake
 6551 3281K ACCEPT     tcp  --  ppp+   any     anywhere             anywhere            tcp spt:quake
11919  609K ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpts:dtspcd:6113
 9083 1427K ACCEPT     tcp  --  ppp+   any     anywhere             anywhere            tcp spts:dtspcd:6113
 201K 8573K ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpt:terabase
 270K   21M ACCEPT     tcp  --  ppp+   any     anywhere             anywhere            tcp spt:terabase

Chain OUTPUT (policy DROP 2831 packets, 250K bytes)
 pkts bytes target     prot opt in     out     source               destination
  692 73388 ACCEPT     icmp --  any    any     anywhere             anywhere
 251K  179M bad_tcp_packets  tcp  --  any    any     anywhere             anywhere
   36  1800 ACCEPT     all  --  any    any     localhost            anywhere
 179K  168M ACCEPT     all  --  any    any     X-Host               anywhere
 124K   15M ACCEPT     all  --  any    ppp+    anywhere             anywhere

Chain allowed (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 DROP       tcp  --  any    any     anywhere             anywhere

Chain bad_tcp_packets (2 references)
 pkts bytes target     prot opt in     out     source               destination
   84 84838 LOG        tcp  --  any    any     anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:'
   84 84838 DROP       tcp  --  any    any     anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW

Chain icmp_packets (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain tcp_packets (1 references)
 pkts bytes target     prot opt in     out     source               destination
    5   244 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:http reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ident reject-with icmp-port-unreachable

Chain udp_packets (1 references)
 pkts bytes target     prot opt in     out     source               destination
  116  9646 ACCEPT     udp  --  any    any     anywhere             anywhere            udp spt:domain
    0     0 ACCEPT     udp  --  any    any     ge-0-1.lns1.dp.ukrtel.net  anywhere            udp spt:bootps dpt:bootpc
    8   940 DROP       udp  --  ppp+   any     anywhere             anywhere            udp dpts:epmap:netbios-ssn
    0     0 DROP       udp  --  ppp+   any     anywhere             255.255.255.255     udp dpts:bootps:bootpc

BuGfiX · Сообщение **BuGfiX** » 24.08.2006 23:26

траффик у вас не левый. просто сквид может считать только http траффик, а у вас открыт еще и smtp, и pop, еще чего-там...

Osorkon · Сообщение **Osorkon** » 25.08.2006 00:00

"насквоь" открыты порты на дьяблу, почту и Eve-Online. они вместе взятые не могут давать разницу в учете трафика в 4-5 раз за сутки. был поднят маскарадинг по типу $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE. знакомый посоветовал убрать, мол отсюда просачивается нежелательный, неучтенный трафик. хотя лично для меня это не понятно, т.к исходя из iptables tuturial сначала все фильтруется в FORWARD а потом то что разрешено согласно правилам попадает в POSTROUTING где и маскарадится... убрал маскарадинг, оставил лишь вышеуказанные порты. ситуация не изменилась... по прежденему, разница ох...фигенная <_<

WarlorD · Сообщение **WarlorD** » 25.08.2006 10:42

поставьте netams и считайте им, оно получше будет и по-точнее.

BuGfiX · Сообщение **BuGfiX** » 25.08.2006 11:35

либо ipcad+perl/bash

WarlorD · Сообщение **WarlorD** » 25.08.2006 12:38

BuGfiX писал(а): ↑
25.08.2006 11:35
либо ipcad+perl/bash

о нет это жесть. Оно хоть умеет в mysql-базу складывать результат например?

BuGfiX · Сообщение **BuGfiX** » 25.08.2006 16:29

WarlorD писал(а): ↑
25.08.2006 12:38
Оно хоть умеет в mysql-базу складывать результат например?

А почему нет? ipcad - не умеет, а вот перл очень даже)

Osorkon · Сообщение **Osorkon** » 25.08.2006 18:26

хм... видимо я не совсем верно донес до вас суть вопроса. а суть, господа, не в том ЧЕМ считать, а в том что где-то просачивается нежелательный, неучтенный трафик, это и есть проблема. вопрос в том есть ли в моем скрипте iptables дыра через которую это все утекает или нет? если есть то где. если нет, то где ее искать?

router · Сообщение **router** » 25.08.2006 19:22

Osorkon писал(а): ↑
25.08.2006 18:26
а суть, господа, не в том ЧЕМ считать, а в том что где-то просачивается нежелательный, неучтенный трафик, это и есть проблема. вопрос в том есть ли в моем скрипте iptables дыра через которую это все утекает или нет? если есть то где. если нет, то где ее искать?

Хмм..
Дыру в вашем методе подсчёта траффика уже назвал BuGfiX: траффик вы считаете через Squid, а часть траффика идёт мимо него.
Искать же дыру в iptables.... Это вы не там спросили. Это по профилю разработчиков ядра

Вообще-то раньше к этому фаерволу претензий не было. И я, например, в чудеса не верю: если траффик идёт через копмьютер, iptables его считает. И в приведённой таблице всё необходимое присутствует. Вы без труда можете проверить статистику провайдера. Проблема лишь в том, что эти правила создавались _без_ учёта необходимости подсчёта траффика, и
а) статистику придётся складывать по многим _разным_ правилам (как явно указанным, так и умолчальным для каждой цепочки ). Причём как в FORWARD, так и в 2-х прочих таблицах.
б) делать это придётся именно вам, т.к. только вы знаете тайный смысл записей в фаерволе, топологию сети и конкретные цифры статистик
Убедившись, что ваша статистика не опровергает статистику провайдера, можно, наконец, привести в порядок фаервол и найти виновников торжества.
Если по-прежнему есть разногласия, возможны, например
1) статистика iptables сбрасывалась. нарочто, - злобным хакером, - или случайно, - перезагрузка без сохранения статистики фаервола.
2) ppp - если не ошибаюсь, dialup? ( правда не знаю - никогда не имел дела в *NIX). Кто-то ещё может использовать это соединение?
3) что-то другое.

удачи в поиске

WarlorD · Сообщение **WarlorD** » 25.08.2006 20:42

BuGfiX писал(а): ↑
25.08.2006 16:29
WarlorD писал(а): ↑
25.08.2006 12:38
Оно хоть умеет в mysql-базу складывать результат например?

А почему нет? ipcad - не умеет, а вот перл очень даже)

А зачем писать то, что уже написано причем на сях и быстро работает? писать свою парсилку логов ipcad, затем продумывать структуру базы, потом писать свою парсилку базы и создавать отчеты - имхо изврат. Тем более я представляю как будет расти лог ipcad-а при нормальной загрузке сети. Еще главное поди придется самому продумывать чтобы он считал для каждого ip отдельно и тп. Короче NetAms избавит вас от необходимости изобретать велосипед. Будет считать по разным юзерам и сетям отдельно, создавать html-отчеты а главное - писать все в базу, из которой удобно делать уже выборку.

unixforum.org

Левый трафик

Левый трафик

Re: Левый трафик

Re: Левый трафик

Re: Левый трафик

Re: Левый трафик

Re: Левый трафик

Re: Левый трафик

Re: Левый трафик

Re: Левый трафик

Re: Левый трафик