Автор Тема: Кто ест трафик? (Прочитано 3213 раз)

LexusLin · « : 22 Апреля 2009, 07:23:27 »

В общем, ситуация следующая:

Сервер ubuntu-server 8.04. Два интерфейса, eth0 - интернет, eth1 - локалка. IP на eth0 - белый.

На сервере установлен squid+havp+sams, NAT не поднят, для контроля также установлен vnstat - считает весь трафик на eth0. В локалке все ходят через прокси.

Так вот показания SAMS и vnstat расходятся, иногда почти в два раза. В отсутствии активности в локальной сети vnstat показывает активность на интерфейсе eth0 примерно 1,7 мб./час туда и обратно, это примерно гиг инфы за месяц....
откуда трафик

Все порты закрыты кроме 22 (для SSH) и 8080, 3128, - последние два не закрываются почемуто.

как узнать кто ест трафик?

Stlodx · « **Ответ #1 :** 22 Апреля 2009, 09:29:08 »

Технический трафик...
Как порты закрыты? iptables настроены? Если Chain FORWARD (policy ACCEPT) - то они пропускаэт трафик. Порты не закрываться не могут...
Можно посмотреть каккие соединения установлены: sudo netstat -e -n -p

LexusLin · « **Ответ #2 :** 22 Апреля 2009, 18:50:24 »

хм... что значит технический трафик? то есть я так полагаю провайдером он учитываться не должен?

iptables у меня настроен так:

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -o eth0 -p tcp -j DROP

я пока не оч. хорошо знаю iptables, поэтому эти строки скопировал откуда-то из инета. Все порты которые были открыты ранее закрылись, кроме 8080 (havp его слушает) и 3128 (squid)... когда я сканирую сканером портов свой ip из интернета он показывает что открыты 22, 8080 и 3128...

возможности посмотреть sudo netstat -e -n -p пока не было, завтра посмотрю...

Tokh · « **Ответ #3 :** 22 Апреля 2009, 21:31:11 »

Куда идёт трафик можно посмотреть через
tcpdump -i eth0
или
tcpdump -n -i eth0

LexusLin · « **Ответ #4 :** 23 Апреля 2009, 07:37:24 »

вот результат netstat -e -n -p, xx.xxx.xxx.xxx внешний ip
я не увидел никаких лишних соединений, только прокся
господа спецы, если заметите что-то паталогичное ткните носом пожалуйста!

пробовал команду tcpdump -i eth0, неудобно читать, строчки бегут (а мож пользоваться не умею)

root@ubuntu:~# netstat -e -n -p
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 192.168.0.1:3128 192.168.0.100:2999 ESTABLISHED 13 97040 4800/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.2:1813 TIME_WAIT 0 0 -
tcp 0 0 xx.xxx.xxx.xxx:39249 64.12.30.44:443 ESTABLISHED 13 119197 4800/(squid)
tcp 0 0 xx.xxx.xxx.xxx:32891 94.100.182.50:443 ESTABLISHED 13 105898 4800/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.2:1261 ESTABLISHED 13 108075 4800/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.2:1807 ESTABLISHED 13 119195 4800/(squid)
tcp 0 0 192.168.0.1:3128 192.168.0.2:1044 ESTABLISHED 13 105896 4800/(squid)
tcp 0 0 xx.xxx.xxx.xxx:36390 94.100.182.52:443 ESTABLISHED 13 97042 4800/(squid)
tcp 0 0 xx.xxx.xxx.xxx:46835 64.12.25.93:443 ESTABLISHED 13 108077 4800/(squid)
tcp6 0 1728 xx.xxx.xxx.xxx:22 95.189.134.177:53206 ESTABLISHED 0 122613 31922/0
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ] DGRAM 5905 1/init @/com/ubuntu/upstart
unix 2 [ ] DGRAM 6039 2487/udevd @/org/kernel/udev/udevd
unix 85 [ ] DGRAM 11389 4293/syslogd /dev/log
unix 2 [ ] DGRAM 122144 31772/CRON
unix 2 [ ] DGRAM 115599 30604/CRON
unix 3 [ ] STREAM CONNECTED 114136 4457/mysqld /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 114135 4759/samsdaemon
unix 3 [ ] STREAM CONNECTED 114134 4457/mysqld /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 114133 4759/samsdaemon
unix 2 [ ] DGRAM 113009 30095/CRON
unix 2 [ ] DGRAM 111555 29733/CRON
unix 2 [ ] DGRAM 109385 29268/CRON
unix 2 [ ] DGRAM 108121 28949/CRON
unix 2 [ ] DGRAM 105880 28441/CRON
unix 2 [ ] DGRAM 103938 28029/CRON
unix 2 [ ] DGRAM 103771 27940/CRON
unix 2 [ ] DGRAM 103510 27821/CRON
unix 2 [ ] DGRAM 103074 27634/CRON
unix 2 [ ] DGRAM 102670 27447/CRON
unix 2 [ ] DGRAM 102250 27261/CRON
unix 2 [ ] DGRAM 101830 27074/CRON
unix 2 [ ] DGRAM 101380 26888/CRON
unix 2 [ ] DGRAM 100973 26701/CRON
unix 2 [ ] DGRAM 100565 26515/CRON
unix 2 [ ] DGRAM 100161 26328/CRON
unix 2 [ ] DGRAM 99750 26142/CRON
unix 2 [ ] DGRAM 99338 25955/CRON
unix 2 [ ] DGRAM 98891 25769/CRON
unix 2 [ ] DGRAM 98482 25582/CRON
unix 3 [ ] STREAM CONNECTED 98394 25548/(ncsa_auth)
unix 3 [ ] STREAM CONNECTED 98393 4800/(squid)
unix 3 [ ] STREAM CONNECTED 98392 25547/(ncsa_auth)
unix 3 [ ] STREAM CONNECTED 98391 4800/(squid)
unix 3 [ ] STREAM CONNECTED 98390 25546/(ncsa_auth)
unix 3 [ ] STREAM CONNECTED 98389 4800/(squid)
unix 3 [ ] STREAM CONNECTED 98388 25545/(ncsa_auth)
unix 3 [ ] STREAM CONNECTED 98387 4800/(squid)
unix 3 [ ] STREAM CONNECTED 98386 25544/(ncsa_auth)
unix 3 [ ] STREAM CONNECTED 98385 4800/(squid)
unix 2 [ ] DGRAM 98378 25541/samsf
unix 3 [ ] STREAM CONNECTED 98377 4457/mysqld /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 98376 25541/samsf
unix 3 [ ] STREAM CONNECTED 98375 4457/mysqld /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 98374 25541/samsf
unix 2 [ ] DGRAM 97680 25359/CRON
unix 2 [ ] STREAM CONNECTED 97523 25541/samsf
unix 2 [ ] STREAM CONNECTED 97521 25541/samsf
unix 2 [ ] DGRAM 97271 25172/CRON
unix 2 [ ] DGRAM 96739 24968/CRON
unix 2 [ ] DGRAM 96222 24765/CRON
unix 2 [ ] DGRAM 95770 24578/CRON
unix 2 [ ] DGRAM 95337 24387/CRON
unix 2 [ ] DGRAM 94888 24200/CRON
unix 2 [ ] DGRAM 94466 24013/CRON
unix 2 [ ] DGRAM 94034 23823/CRON
unix 2 [ ] DGRAM 93630 23636/CRON
unix 2 [ ] DGRAM 93219 23450/CRON
unix 2 [ ] DGRAM 92812 23263/CRON
unix 2 [ ] DGRAM 92378 23076/CRON
unix 2 [ ] DGRAM 89066 22567/CRON
unix 2 [ ] DGRAM 78311 20003/CRON
unix 2 [ ] DGRAM 73934 19004/CRON
unix 2 [ ] DGRAM 71152 18361/CRON
unix 2 [ ] DGRAM 69351 17941/CRON
unix 2 [ ] DGRAM 68576 17716/CRON
unix 2 [ ] DGRAM 63636 16937/CRON
unix 2 [ ] DGRAM 62753 16646/CRON
unix 2 [ ] DGRAM 61452 16365/CRON
unix 2 [ ] DGRAM 56866 15645/CRON
unix 2 [ ] DGRAM 52214 14801/CRON
unix 2 [ ] DGRAM 47085 14071/CRON
unix 2 [ ] DGRAM 44908 13639/CRON
unix 2 [ ] DGRAM 40049 12731/CRON
unix 2 [ ] DGRAM 34513 11847/CRON
unix 2 [ ] DGRAM 33821 11632/CRON
unix 2 [ ] DGRAM 32481 11298/CRON
unix 2 [ ] DGRAM 30802 10897/CRON
unix 2 [ ] DGRAM 26506 10130/CRON
unix 2 [ ] DGRAM 25996 9929/CRON
unix 3 [ ] STREAM CONNECTED 25912 4761/winbindd
unix 3 [ ] STREAM CONNECTED 25911 9896/winbindd
unix 3 [ ] STREAM CONNECTED 25909 4761/winbindd
unix 3 [ ] STREAM CONNECTED 25908 9895/winbindd
unix 2 [ ] STREAM CONNECTED 25907 9895/winbindd /var/run/samba/winbindd_privileged/pipe
unix 2 [ ] DGRAM 22821 9309/CRON
unix 2 [ ] DGRAM 21484 8880/CRON
unix 2 [ ] DGRAM 21412 8833/CRON
unix 2 [ ] DGRAM 20943 8654/CRON
unix 2 [ ] DGRAM 20520 8467/CRON
unix 2 [ ] DGRAM 20104 8279/CRON
unix 2 [ ] DGRAM 19666 8091/CRON
unix 2 [ ] DGRAM 19166 7889/CRON
unix 2 [ ] DGRAM 18740 7700/CRON
unix 2 [ ] DGRAM 18322 7512/CRON
unix 2 [ ] DGRAM 17918 7325/CRON
unix 2 [ ] DGRAM 17484 7136/CRON
unix 2 [ ] DGRAM 17008 6942/CRON
unix 2 [ ] DGRAM 16578 6754/CRON
unix 2 [ ] DGRAM 16151 6569/CRON
unix 2 [ ] DGRAM 15566 6351/CRON
unix 2 [ ] DGRAM 15096 6160/CRON
unix 2 [ ] DGRAM 14630 5971/CRON
unix 2 [ ] DGRAM 14182 5785/CRON
unix 2 [ ] DGRAM 13623 5555/CRON
unix 2 [ ] DGRAM 12828 5133/CRON
unix 2 [ ] DGRAM 12147 4800/(squid)
unix 2 [ ] DGRAM 12144 4797/squid
unix 3 [ ] STREAM CONNECTED 12132 4761/winbindd
unix 3 [ ] STREAM CONNECTED 12131 4785/winbindd
unix 2 [ ] DGRAM 12069 4759/samsdaemon
unix 2 [ ] DGRAM 11608 4459/logger
unix 2 [ ] DGRAM 11458 4337/named
unix 2 [ ] DGRAM 11438 4314/klogd

Форум русскоязычного сообщества Ubuntu

Автор Тема: Кто ест трафик? (Прочитано 3213 раз)

LexusLin

Кто ест трафик?

Stlodx

Re: Кто ест трафик?

LexusLin

Re: Кто ест трафик?

Tokh

Re: Кто ест трафик?

LexusLin

Re: Кто ест трафик?