Servidor com consumo de banda estranho...

1 Anexo(s)

Olá Pessoal,

Tenho um servidor de internet aqui instalado ubuntu, com iptables, dhcp, htb e squid.

Está ocorrendo uma situação que eu não estou conseguindo entender, e solucionar o problema.

No relatório do MRTG, aparece picos de consumo de banda de 20 megas, que é o que eu tenho de link aqui.

Porém, eu não tenho clientes que consume isso tudo, os planos são de 300, 500 e 1 mega, e normalmente os picos são de 5 megas no máximo. Não há clientes para chegar a 20 megas.

Utilizei o programa iftop para mim analizar...
Anexo 39407

Como vocês podem ver, a tela do lado esquerdo está com o link de internet (ETH0 com IP 10.10.10.100 atrás de um roteador), e a tela do lado esquerdo está a rede local (ETH1 com os clientes 192.168.1.0).

Outro detalhe é o gráfico, como vocês podem ver o LINK está com a escala de 10 megas, e a LAN está com 5 megas de escala.

Portanto, neste caso, a interface do LINK está consumindo no momento 8 megas aproximadamente, e a LAN está consumindo nem 3 megas.

O que me dá a entender é que tem algum serviço, invasão, ou algum cliente está utilizando banda a mais do que deveria.

Não entendo muito de linux, e não sei mais o que eu faço para detectar o problema.

Se alguém puder me ajudar, ficarei imensamente grato!

Se puderem, me passem alguns comandos/programas para mim realizar testes e descobrir o que ocorre.

Obrigado a todos!!

Re: Servidor com consumo de banda estranho...

Desative seu squid para testar. De fora da sua rede pode esta usando o squid .
Agora gerencie sua rede com mikrotik, bem mais fácil.

Re: Servidor com consumo de banda estranho...

Eu já bloquiei o acesso de fora... com o comando:

iptables -A INPUT -i eth0 -p tcp --destination-port 3128 -j DROP

Re: Servidor com consumo de banda estranho...

Bom não sei exatamente se é seu caso ai, mas parece que estão usando o seu roteador como tranpolin, mandado spam ou outras coisas para outras redes externas, desative o squid pra vê, se normalizar então, nas configurações do squid permita acesso apenas a sua rede interna.

Re: Servidor com consumo de banda estranho...

Citação:

Postado originalmente por portalink

Bom não sei exatamente se é seu caso ai, mas parece que estão usando o seu roteador como tranpolin, mandado spam ou outras coisas para outras redes externas, desative o squid pra vê, se normalizar então, nas configurações do squid permita acesso apenas a sua rede interna.

Acredito que seja algo parecido...

Ontem, percebi um consumo excessivo, parei o squid, o consumo diminuiu... ai restartei o squid, ficou "normal"... até a próxima vez.. :D

Porém, acredito que a porta esteja fechada para a eth0 (INTERNET) com a regra que coloquei no iptables, e também o squid.conf está com a seguinte regra:

acl Clientes src 192.168.1.0/24
### HTTP_ACCESS ###
http_access allow Clientes
http_access allow localhost
http_access deny all

tem algum problema ? como eu faço para verificar se realmente a porta está fechada para a eth0 ?

Outra dúvida, o squid quando faz cache, ele utiliza a banda total do servidor ou do que o usuário está consumindo ?

Re: Servidor com consumo de banda estranho...

Bom, qual o controle de banda que vc ta usando? Eu utilizava aqui o CBQ, naquela época não tinha cache full, a mesma velocidade que o cliente puxava da internet era a mesma do cache.

Re: Servidor com consumo de banda estranho...

Citação:

Postado originalmente por portalink

Bom, qual o controle de banda que vc ta usando? Eu utilizava aqui o CBQ, naquela época não tinha cache full, a mesma velocidade que o cliente puxava da internet era a mesma do cache.

Utilizo o HTB, mas não tenho cache a full... espero que ele baixe na mesma velocidade do cliente né.. :D

Re: Servidor com consumo de banda estranho...

Mais uns testes que eu fiz....

o MRTG na eth0 (INTERNET) tem picos de 20 megas, e o consumo é bem alto... na interface eth1 ( LAN ) não passa de 5 megas de consumo nos picos...

Desabilitei o squid para testar... até agora não teve mais os picos de 20 megas....

Agora o que eu não entendo é o seguinte...

Se for o squid, digamos que a eth0 ( INTERNET ) está bloqueado a porta 3128 conforme a regra no firewall:
iptables -A INPUT -i eth0 -p tcp --destination-port 3128 -j DROP

fiz um teste de porta aberta através desses sites de varredura de porta aberta, e deu fechada!

ai usei o comando:
netstat -putan | grep squid
tcp 0 0 192.168.1.254:3128 0.0.0.0:* OUÃA 1825/squid3
udp 0 0 0.0.0.0:50158 0.0.0.0:* 1825/squid3

ele retornou pra mim isso... vi num forum que não era para aparecer 0.0.0.0

ai vem outra dúvida...
Se o tráfego gerado não é da LAN (pois o MRTG dá o tráfego todo para a eth0(INTERNET)) significa que não é ninguém da LAN usando banda... teoricamente, o tráfego gerado está vindo da própria internet...

agora, como que pode alguém conseguir utilizar meu squid com a porta bloqueada ? essa porta udp, alguém entra no squid por ela ?

Re: Servidor com consumo de banda estranho...

Citação:

Postado originalmente por ferdead

Mais uns testes que eu fiz....

o MRTG na eth0 (INTERNET) tem picos de 20 megas, e o consumo é bem alto... na interface eth1 ( LAN ) não passa de 5 megas de consumo nos picos...

Desabilitei o squid para testar... até agora não teve mais os picos de 20 megas....

Agora o que eu não entendo é o seguinte...

Se for o squid, digamos que a eth0 ( INTERNET ) está bloqueado a porta 3128 conforme a regra no firewall:
iptables -A INPUT -i eth0 -p tcp --destination-port 3128 -j DROP

fiz um teste de porta aberta através desses sites de varredura de porta aberta, e deu fechada!

ai usei o comando:
netstat -putan | grep squid
tcp 0 0 192.168.1.254:3128 0.0.0.0:* OUÃA 1825/squid3
udp 0 0 0.0.0.0:50158 0.0.0.0:* 1825/squid3

ele retornou pra mim isso... vi num forum que não era para aparecer 0.0.0.0

ai vem outra dúvida...
Se o tráfego gerado não é da LAN (pois o MRTG dá o tráfego todo para a eth0(INTERNET)) significa que não é ninguém da LAN usando banda... teoricamente, o tráfego gerado está vindo da própria internet...

agora, como que pode alguém conseguir utilizar meu squid com a porta bloqueada ? essa porta udp, alguém entra no squid por ela ?

Externamente tente dar um telnet na porta
Código :

telnet IP porta
Limite o uso de banda também no SQUID através das TAGs "delay" (delay_parameters).

2 Anexo(s)

Re: Servidor com consumo de banda estranho...

Olá pessoal !!! eu de novo.. :D

é o seguinte, o telnet fora da rede deu falha na porta 3128 e na porta upd que o netstat -putan retornou...

portanto, acredito agora que deva ser algum problema gerado dentro da própria LAN. Observem a imagem abaixo:

Anexo 39625
Anexo 39626

O consumo da eth0 (INTERNET) é o de cima... o debaixo é eth1 (LAN)...

o que deve estar acontecendo ? já não sei mais o que fazer... :D

Será que tem algo passando por fora do HTB ? como eu faço pra descobrir.. .?

Re: Servidor com consumo de banda estranho...

Será que tem algo passando fora do htb ?