Кто ест трафик?

[CGS]

Приветствую.
Ситуация следующая, есть сервер на Ubuntu 10.04.1 LTS.
Стоит Ebox.
Он почему то ночью да и не только по ходу, просто ночью это виднее, ежечасно потребляет трафик, хотя его никто не использует.
Автоапдейт вроде отключил.
Кто это может делать? И где можно посмотреть лог, того кто лезет куда лезет?

[Mam(O)n]

tcpdump запусти на ночь.

[CGS]

Во общем так я и не пойму кто ест трафик.
Вот кусок лога то что выдал tcpdump:

Код: [Выделить]

2010-10-13 21:55:46.927336 IP 109.72.210.16.50888 > 195.112.***.**.3128: Flags [.], ack 2227, win 65535, length 0
2010-10-13 21:55:46.949760 IP 109.72.210.16.50892 > 195.112.***.**.3128: Flags [P.], seq 38:162, ack 40, win 65496, length 124
2010-10-13 21:55:46.950368 IP 109.72.210.16.50888 > 195.112.***.**.3128: Flags [P.], seq 162:344, ack 2227, win 65535, length 182
2010-10-13 21:55:47.110660 IP 205.188.96.18.443 > 195.112.***.**.54981: Flags [.], ack 307, win 35258, length 0
2010-10-13 21:55:47.111420 IP 205.188.99.18.443 > 195.112.***.**.41543: Flags [P.], seq 1:1461, ack 125, win 40834, length 1460
2010-10-13 21:55:47.111496 IP 205.188.99.18.443 > 195.112.***.**.41543: Flags [P.], seq 1461:2188, ack 125, win 40834, length 727
2010-10-13 21:55:47.111554 IP 205.188.96.18.443 > 195.112.***.**.54981: Flags [P.], seq 2188:2231, ack 307, win 35258, length 43То есть каждую секунду идёт скачка чего-то.

[Mam(O)n]

Малый кусок. И это какой интерфейс слушается? Данная тачка является шлюзом для локальных клиентов? С виду, так будто у тебя открыт проксик наружу и им удачно кто то воспользовался.

[fisher74]

Первые 4 пакета - явно прокси отдаётся наружу.... Кстати, у меня на squid  в одном месте тоже этот же ип вылетает, причём в конфиге ему явный deny прописан.
Последние 4 - кто-то из локалки на аське в онлайне торчит.

[Mam(O)n]

Кстати, у меня на squid  в одном месте тоже этот же ип вылетает

А не правильнее ли вообще снять squid с прослушки внешних адресов?

[fisher74]

Правильней. В конфиге так и было, но маленький траффик всё равно кушался... Измерялся одним пакетом в день-два. Правда и адрес другой чуток  - 109.87.71.111
Причём такое ощущение, что проверка на вшивость, потому как запрашивал сам себя

Код: [Выделить]

ping -c 1 loo.is-a-chef.com
PING loo.is-a-chef.com (109.87.71.111): 56 data bytes
64 bytes from 109.87.71.111: seq=0 ttl=57 time=106.622 ms

--- loo.is-a-chef.com ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 106.622/106.622/106.622 msЕсли ща найду архив, то покажу строку из access.log
Вот она

Код: [Выделить]

1285427046.543     20 109.87.71.111 NONE/417 4257 POST http://loo.is-a-chef.com/indix.php - NONE/- text/html
Потом закрыл его таблесами и забыл... Хотя нет.. осадок остался. Именно это и подтолкнуло изучить iptables.

[Mam(O)n]

Не мог он в лог попасть, если внешка не слушалась, ну не мог....

[fisher74]

А, нет... наврал - внешка слушалась, потому что не мог заставить слушать на 2-х интерфейсах, потому резал acl-ами

[Mam(O)n]

Ну а между вашими "взломщиками" ничего общего, даже сети разные, один в Днепропетровске, другой в Лондоне....

[fisher74]

Может быть. Просто увидел знакомую первую тетраду, вот и вспомнил.

[CGS]

Малый кусок. И это какой интерфейс слушается? Данная тачка является шлюзом для локальных клиентов? С виду, так будто у тебя открыт проксик наружу и им удачно кто то воспользовался.

Слушаеться eth0, да это шлюз, но данные я снимал, зная точно что ни один из локальным компов не включен. Он сам инициирует данные соединения.
Я не совсем гуру в этом вопросе, как утихомирить проксю?

[Mam(O)n]

То, что ты нам показал, пакеты в твою сторону а не от тебя..

Кстати, если развивать мысль, тогда можно подумать, что через твою проксю кто то в асе сидит )

Я не совсем гуру в этом вопросе, как утихомирить проксю?

Сконфигурировать на прослушку только локального адреса. Ну или всегда можно закрыть на файрволе -I INPUT -i eth0 --dport 3128 -j DROP

[CGS]

Сконфигурировать на прослушку только локального адреса

Это как сделать?
Закрываю вот этим -I INPUT -i eth0 --dport 3128 -j DROP, всё равно приём идёт на этот порт. Что не так?