Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Squid überwachungsprogramm

Mitglied: nEmEsIs
Hi @ all
Habe folgendes Problem:
Habe einen Squid Server unter Linux in einem Schulnetzwerk am laufen und dort schaffen es ein Schüler immerwieder den Squid Proxy zu umgehen.
Das führ dazu das die DSL Leitung zu ist bis zum geht nicht mehr. Ich vermute es ist ein einzelner.... Sind grob 120 Clients.
Ich kenne es von der Kerio Winrout Firewall das man von jeder IP den aktuellen down und up Stream beobachten kann, also wieviel kb der einzelne
von der Leitung verwendet....
Und sowas such ich am besten Grafisch für den Squid, um zu sehen wer im Netzwerk wieviel KB/sec verbraucht um zu sehen ob es sich dabei wirklich um einen Downloader handelt.
Ich brauche nix, wo ich sehen kann wieviel Volumen der einzelen User in letzer Zeit verbraucht hat, da dies denk ich mal net da auffällt wenn zb. der Downloader sich nen Tunnel über Port 443 aufgebaut hat via VPN oder ähnlichem.
Desweitern stellt sich dir Frage, ob es vielleicht möglich ist mit einem P2P-Client und eintragen des Proxy´s möglich ist herrauszukommen.
Wenn ich einen Externen Proxy eintrage geht dies nicht, das ist schon abgeschaltet.

Hoffe ihr könnt mir helfen

MFG Nemesis

PS: Ein Programm um den Squid extern zu Überwachen währe hilfreich.

Content-Key: 100983

Url: https://administrator.de/contentid/100983

Ausgedruckt am: 25.07.2021 um 11:07 Uhr

Mitglied: Alphavil
Alphavil 04.11.2008 um 14:54:37 Uhr
Goto Top
Um so etwas zu überwachen gibts nur eins:

Nagios und hier das passende Portal dazu: http://www.nagios-portal.org

Ansonsten gibt es zum Squid noch einen SquidGuard den du dahinter hängen kannst


Greetz André
Mitglied: problemsolver
problemsolver 04.11.2008 um 16:43:05 Uhr
Goto Top
Hi,

was für eine Linuxversion hast Du im Einsatz?
Versuch doch mal an der Konsole:
(... iftop - display bandwidth usage on an interface by host ...)

Mit iftop --help oder man iftop kannst Du Dir die Hilfe anzeigen lassen.
Mit iftop -i eht0 oder eth1 kann man dann den traffic noch auf ein Interface begrenzen. Ich würde Dir die interne Netzwerkkarte empfehlen...
Dadurch kannst Du ermitteln, wer wieviel Traffic gerade verursacht wird und wohin die Verbindung mit Quelle und Ziel aufgebaut worden ist.

Ansonsten müsstest Du Dir die access.log Datei des Squids mal mit tail -f /var/log/squid/access.log anschauen... so hättest Du auch noch eine live Übersicht der aufgerufenen Seiten... Wahrscheinlich jedoch zuviel Input. Wenn Du dann noch "Beweise" benötigst wäre Folgendes möglich: :-) face-smile


Somit kannst Du live mitverfolgen, was die IP-Adresse veranstaltet.
Wenn man dann uuuunbedingt möchte, könnte man auch noch mit IPTABLES ggf. diese IP-Adresse via Script dann blocken indem eine Regel hinzugefügt wird. Bitte dann nicht vergessen, diese dann auch wieder zu löschen :-) face-smile ... Aber das werde ich jetzt hier nicht erklären, da das hier zu sehr ausschweifen würde...

Vielleicht habe ich schon eine kleine Anregung gegeben.

Gruß

Markus
Mitglied: nEmEsIs
nEmEsIs 04.11.2008 um 18:58:09 Uhr
Goto Top
Hi Markus
da ich aber nicht weiß wer der verdächtige ist hab ich da bei 120 clients schlechte Changen ... wenn dann müsste ich sowas für jede IP machen und ob ich dann da sehe wieviel kb pro secunde durchfließen bezweifel ich ... da wenn es sich um eine Tauschbörse handelt oder ähnliches das sicher nicht mit http:// anfängt ... aber danke für den Befehl, dann kann ich schon mal stichproben durchführen ...

Mfg Nemesis
Mitglied: problemsolver
problemsolver 04.11.2008 um 23:27:18 Uhr
Goto Top
Hi Nemesis,

es hört sich alles komplizierter an, wie es eigentlich ist.
Die Verwendung von iftop, grep und tail ist reeeelativ leich erlernt und die weiteren Ideen dazu fallen einem auch dann schnell ein :-) face-smile

Es gibt allerdings noch eine andere Idee, die ich Dir nicht vorenthalten möchte:
Du könntest mit dem sog. SARG (Squid Analysis Report Generator) dir eine Übersicht von den am häufigsten besuchten Seiten von den Rechnern machen. ( http://sarg.sourceforge.net )

Je nach Einstellung deines Squids umfassen die access.log Dateien mehrere Tage (meistens eine Woche).
Diese benötigt der Sarg zur Auswertung. Die Ausgabe sieht so aus, dass SARG HTML Seiten erstellt, die du dann direkt auf dem Webserver der Linuxmaschine anschauen kannst. (sofern einer installiert ist)

Um allerdings wirklich eine gute Datenbasis zu haben, gehe ich von festen Client-IPs bei den Rechnern im Klassenraum aus. (alternativ bietet sich auch eine Authentifizierung am Squid an, was die Sache allerdings wieder verkompliziert. Ich vermute, dass Du einen transparenten Proxy bei euch aufgesetzt hast...)
Beispiel für eine Auswertung mit SARG
Hierbei würde eine Auswertung über die Access.log gehen, die vom gestrigen Tag bis zum heutigen Tag reicht. Die Auswertung würde dann in einen Pfad geschrieben werden, der in dem Squid-reports Verzeichnis in deinem Webroot (htdocs) landet.

Du könntest dann genau sehen, welcher Rechner zu welcher Uhrzeit auf welcher Seite gelandet wäre. Auch die Topsites würden zusätzlich aufgelistet werden... Naja... Bei Interesse kannst Du Dich ja mal in das Thema einarbeiten. Ist auch alles nicht so schwer :-) face-smile

Weiterhin viel Erfolg :-) face-smile

Gruß

Markus
Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 1 TagFrageBenchmarks47 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server19 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
2U Home-Server Frage zur HardwaremossoxVor 22 StundenFrageServer-Hardware10 Kommentare

Hallo zusammen, ich habe in den letzten Jahren auf die Systeme von Synology gesetzt. Im Wesentlichen ging es immer nur um simple CIFS Dienste, nichts ...

question
Powershell Ordner löschen die älter als x Tage sindsascha46Vor 20 StundenFrageEntwicklung6 Kommentare

Hallo Ich würde gerne in einem Verzeichnis alle Ordner die älter als X Tage sind löschen. Aber irgendwie bekomme ich das nicht hin. Bisher habe ...

question
Firmengelände Glasfaser mehrere GebäudeTonLichtVideoVor 18 StundenFrageNetzwerke4 Kommentare

Hallo zusammen, Ist Zustand: Firmengelände mit mehreren großen Hallen die zentral per Glasfaser verbunden werden sollen. Längen zwischen 100 und 400 Metern. Aufgrund der Zukunftssicherheit ...