4
Squid überwachungsprogramm
Hi @ all
Habe folgendes Problem:
Habe einen Squid Server unter Linux in einem Schulnetzwerk am laufen und dort schaffen es ein Schüler immerwieder den Squid Proxy zu umgehen.
Das führ dazu das die DSL Leitung zu ist bis zum geht nicht mehr. Ich vermute es ist ein einzelner.... Sind grob 120 Clients.
Ich kenne es von der Kerio Winrout Firewall das man von jeder IP den aktuellen down und up Stream beobachten kann, also wieviel kb der einzelne
von der Leitung verwendet....
Und sowas such ich am besten Grafisch für den Squid, um zu sehen wer im Netzwerk wieviel KB/sec verbraucht um zu sehen ob es sich dabei wirklich um einen Downloader handelt.
Ich brauche nix, wo ich sehen kann wieviel Volumen der einzelen User in letzer Zeit verbraucht hat, da dies denk ich mal net da auffällt wenn zb. der Downloader sich nen Tunnel über Port 443 aufgebaut hat via VPN oder ähnlichem.
Desweitern stellt sich dir Frage, ob es vielleicht möglich ist mit einem P2P-Client und eintragen des Proxy´s möglich ist herrauszukommen.
Wenn ich einen Externen Proxy eintrage geht dies nicht, das ist schon abgeschaltet.
Hoffe ihr könnt mir helfen
MFG Nemesis
PS: Ein Programm um den Squid extern zu Überwachen währe hilfreich.
Habe folgendes Problem:
Habe einen Squid Server unter Linux in einem Schulnetzwerk am laufen und dort schaffen es ein Schüler immerwieder den Squid Proxy zu umgehen.
Das führ dazu das die DSL Leitung zu ist bis zum geht nicht mehr. Ich vermute es ist ein einzelner.... Sind grob 120 Clients.
Ich kenne es von der Kerio Winrout Firewall das man von jeder IP den aktuellen down und up Stream beobachten kann, also wieviel kb der einzelne
von der Leitung verwendet....
Und sowas such ich am besten Grafisch für den Squid, um zu sehen wer im Netzwerk wieviel KB/sec verbraucht um zu sehen ob es sich dabei wirklich um einen Downloader handelt.
Ich brauche nix, wo ich sehen kann wieviel Volumen der einzelen User in letzer Zeit verbraucht hat, da dies denk ich mal net da auffällt wenn zb. der Downloader sich nen Tunnel über Port 443 aufgebaut hat via VPN oder ähnlichem.
Desweitern stellt sich dir Frage, ob es vielleicht möglich ist mit einem P2P-Client und eintragen des Proxy´s möglich ist herrauszukommen.
Wenn ich einen Externen Proxy eintrage geht dies nicht, das ist schon abgeschaltet.
Hoffe ihr könnt mir helfen
MFG Nemesis
PS: Ein Programm um den Squid extern zu Überwachen währe hilfreich.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 100983
Url: https://administrator.de/contentid/100983
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
4 Kommentare
Neuester Kommentar
Um so etwas zu überwachen gibts nur eins:
Nagios und hier das passende Portal dazu: http://www.nagios-portal.org
Ansonsten gibt es zum Squid noch einen SquidGuard den du dahinter hängen kannst
Greetz André
Nagios und hier das passende Portal dazu: http://www.nagios-portal.org
Ansonsten gibt es zum Squid noch einen SquidGuard den du dahinter hängen kannst
Greetz André
Hi,
was für eine Linuxversion hast Du im Einsatz?
Versuch doch mal an der Konsole:
(... iftop - display bandwidth usage on an interface by host ...)
Mit iftop --help oder man iftop kannst Du Dir die Hilfe anzeigen lassen.
Mit iftop -i eht0 oder eth1 kann man dann den traffic noch auf ein Interface begrenzen. Ich würde Dir die interne Netzwerkkarte empfehlen...
Dadurch kannst Du ermitteln, wer wieviel Traffic gerade verursacht wird und wohin die Verbindung mit Quelle und Ziel aufgebaut worden ist.
Ansonsten müsstest Du Dir die access.log Datei des Squids mal mit tail -f /var/log/squid/access.log anschauen... so hättest Du auch noch eine live Übersicht der aufgerufenen Seiten... Wahrscheinlich jedoch zuviel Input. Wenn Du dann noch "Beweise" benötigst wäre Folgendes möglich:
Somit kannst Du live mitverfolgen, was die IP-Adresse veranstaltet.
Wenn man dann uuuunbedingt möchte, könnte man auch noch mit IPTABLES ggf. diese IP-Adresse via Script dann blocken indem eine Regel hinzugefügt wird. Bitte dann nicht vergessen, diese dann auch wieder zu löschen ... Aber das werde ich jetzt hier nicht erklären, da das hier zu sehr ausschweifen würde...
Vielleicht habe ich schon eine kleine Anregung gegeben.
Gruß
Markus
was für eine Linuxversion hast Du im Einsatz?
Versuch doch mal an der Konsole:
(... iftop - display bandwidth usage on an interface by host ...)
iftopMit iftop --help oder man iftop kannst Du Dir die Hilfe anzeigen lassen.
Mit iftop -i eht0 oder eth1 kann man dann den traffic noch auf ein Interface begrenzen. Ich würde Dir die interne Netzwerkkarte empfehlen...
Dadurch kannst Du ermitteln, wer wieviel Traffic gerade verursacht wird und wohin die Verbindung mit Quelle und Ziel aufgebaut worden ist.
Ansonsten müsstest Du Dir die access.log Datei des Squids mal mit tail -f /var/log/squid/access.log anschauen... so hättest Du auch noch eine live Übersicht der aufgerufenen Seiten... Wahrscheinlich jedoch zuviel Input. Wenn Du dann noch "Beweise" benötigst wäre Folgendes möglich:
tail -f /var/log/squid/access.log | grep "die-ip-adresse-des-verdächtigen" Somit kannst Du live mitverfolgen, was die IP-Adresse veranstaltet.
Wenn man dann uuuunbedingt möchte, könnte man auch noch mit IPTABLES ggf. diese IP-Adresse via Script dann blocken indem eine Regel hinzugefügt wird. Bitte dann nicht vergessen, diese dann auch wieder zu löschen
... Aber das werde ich jetzt hier nicht erklären, da das hier zu sehr ausschweifen würde...Vielleicht habe ich schon eine kleine Anregung gegeben.
Gruß
Markus
Hi Markus
da ich aber nicht weiß wer der verdächtige ist hab ich da bei 120 clients schlechte Changen ... wenn dann müsste ich sowas für jede IP machen und ob ich dann da sehe wieviel kb pro secunde durchfließen bezweifel ich ... da wenn es sich um eine Tauschbörse handelt oder ähnliches das sicher nicht mit http:// anfängt ... aber danke für den Befehl, dann kann ich schon mal stichproben durchführen ...
Mfg Nemesis
da ich aber nicht weiß wer der verdächtige ist hab ich da bei 120 clients schlechte Changen ... wenn dann müsste ich sowas für jede IP machen und ob ich dann da sehe wieviel kb pro secunde durchfließen bezweifel ich ... da wenn es sich um eine Tauschbörse handelt oder ähnliches das sicher nicht mit http:// anfängt ... aber danke für den Befehl, dann kann ich schon mal stichproben durchführen ...
Mfg Nemesis
Hi Nemesis,
es hört sich alles komplizierter an, wie es eigentlich ist.
Die Verwendung von iftop, grep und tail ist reeeelativ leich erlernt und die weiteren Ideen dazu fallen einem auch dann schnell ein
Es gibt allerdings noch eine andere Idee, die ich Dir nicht vorenthalten möchte:
Du könntest mit dem sog. SARG (Squid Analysis Report Generator) dir eine Übersicht von den am häufigsten besuchten Seiten von den Rechnern machen. ( http://sarg.sourceforge.net )
Je nach Einstellung deines Squids umfassen die access.log Dateien mehrere Tage (meistens eine Woche).
Diese benötigt der Sarg zur Auswertung. Die Ausgabe sieht so aus, dass SARG HTML Seiten erstellt, die du dann direkt auf dem Webserver der Linuxmaschine anschauen kannst. (sofern einer installiert ist)
Um allerdings wirklich eine gute Datenbasis zu haben, gehe ich von festen Client-IPs bei den Rechnern im Klassenraum aus. (alternativ bietet sich auch eine Authentifizierung am Squid an, was die Sache allerdings wieder verkompliziert. Ich vermute, dass Du einen transparenten Proxy bei euch aufgesetzt hast...)
Beispiel für eine Auswertung mit SARG
Hierbei würde eine Auswertung über die Access.log gehen, die vom gestrigen Tag bis zum heutigen Tag reicht. Die Auswertung würde dann in einen Pfad geschrieben werden, der in dem Squid-reports Verzeichnis in deinem Webroot (htdocs) landet.
Du könntest dann genau sehen, welcher Rechner zu welcher Uhrzeit auf welcher Seite gelandet wäre. Auch die Topsites würden zusätzlich aufgelistet werden... Naja... Bei Interesse kannst Du Dich ja mal in das Thema einarbeiten. Ist auch alles nicht so schwer
Weiterhin viel Erfolg
Gruß
Markus
es hört sich alles komplizierter an, wie es eigentlich ist.
Die Verwendung von iftop, grep und tail ist reeeelativ leich erlernt und die weiteren Ideen dazu fallen einem auch dann schnell ein
Es gibt allerdings noch eine andere Idee, die ich Dir nicht vorenthalten möchte:
Du könntest mit dem sog. SARG (Squid Analysis Report Generator) dir eine Übersicht von den am häufigsten besuchten Seiten von den Rechnern machen. ( http://sarg.sourceforge.net )
Je nach Einstellung deines Squids umfassen die access.log Dateien mehrere Tage (meistens eine Woche).
Diese benötigt der Sarg zur Auswertung. Die Ausgabe sieht so aus, dass SARG HTML Seiten erstellt, die du dann direkt auf dem Webserver der Linuxmaschine anschauen kannst. (sofern einer installiert ist)
Um allerdings wirklich eine gute Datenbasis zu haben, gehe ich von festen Client-IPs bei den Rechnern im Klassenraum aus. (alternativ bietet sich auch eine Authentifizierung am Squid an, was die Sache allerdings wieder verkompliziert. Ich vermute, dass Du einen transparenten Proxy bei euch aufgesetzt hast...)
Beispiel für eine Auswertung mit SARG
#Get current date
TODAY=$(date +%d/%m/%Y)
#Get Yesterday's Date
YESTERDAY=$(date --date "1 day ago" +%d/%m/%Y)
/usr/bin/sarg -l /var/log/squid/access.log -o /var/www/htdocs/squid-reports/weekly -z -d $YESTERDAY-$TODAYDu könntest dann genau sehen, welcher Rechner zu welcher Uhrzeit auf welcher Seite gelandet wäre. Auch die Topsites würden zusätzlich aufgelistet werden... Naja... Bei Interesse kannst Du Dich ja mal in das Thema einarbeiten. Ist auch alles nicht so schwer
Weiterhin viel Erfolg
Gruß
Markus
