nemesis
Goto Top

Squid überwachungsprogramm

Hi @ all
Habe folgendes Problem:
Habe einen Squid Server unter Linux in einem Schulnetzwerk am laufen und dort schaffen es ein Schüler immerwieder den Squid Proxy zu umgehen.
Das führ dazu das die DSL Leitung zu ist bis zum geht nicht mehr. Ich vermute es ist ein einzelner.... Sind grob 120 Clients.
Ich kenne es von der Kerio Winrout Firewall das man von jeder IP den aktuellen down und up Stream beobachten kann, also wieviel kb der einzelne
von der Leitung verwendet....
Und sowas such ich am besten Grafisch für den Squid, um zu sehen wer im Netzwerk wieviel KB/sec verbraucht um zu sehen ob es sich dabei wirklich um einen Downloader handelt.
Ich brauche nix, wo ich sehen kann wieviel Volumen der einzelen User in letzer Zeit verbraucht hat, da dies denk ich mal net da auffällt wenn zb. der Downloader sich nen Tunnel über Port 443 aufgebaut hat via VPN oder ähnlichem.
Desweitern stellt sich dir Frage, ob es vielleicht möglich ist mit einem P2P-Client und eintragen des Proxy´s möglich ist herrauszukommen.
Wenn ich einen Externen Proxy eintrage geht dies nicht, das ist schon abgeschaltet.

Hoffe ihr könnt mir helfen

MFG Nemesis

PS: Ein Programm um den Squid extern zu Überwachen währe hilfreich.

Content-Key: 100983

Url: https://administrator.de/contentid/100983

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Alphavil
Alphavil 04.11.2008 um 14:54:37 Uhr
Goto Top
Um so etwas zu überwachen gibts nur eins:

Nagios und hier das passende Portal dazu: http://www.nagios-portal.org

Ansonsten gibt es zum Squid noch einen SquidGuard den du dahinter hängen kannst


Greetz André
Mitglied: problemsolver
problemsolver 04.11.2008 um 16:43:05 Uhr
Goto Top
Hi,

was für eine Linuxversion hast Du im Einsatz?
Versuch doch mal an der Konsole:
(... iftop - display bandwidth usage on an interface by host ...)
iftop

Mit iftop --help oder man iftop kannst Du Dir die Hilfe anzeigen lassen.
Mit iftop -i eht0 oder eth1 kann man dann den traffic noch auf ein Interface begrenzen. Ich würde Dir die interne Netzwerkkarte empfehlen...
Dadurch kannst Du ermitteln, wer wieviel Traffic gerade verursacht wird und wohin die Verbindung mit Quelle und Ziel aufgebaut worden ist.

Ansonsten müsstest Du Dir die access.log Datei des Squids mal mit tail -f /var/log/squid/access.log anschauen... so hättest Du auch noch eine live Übersicht der aufgerufenen Seiten... Wahrscheinlich jedoch zuviel Input. Wenn Du dann noch "Beweise" benötigst wäre Folgendes möglich: face-smile

tail -f /var/log/squid/access.log | grep "die-ip-adresse-des-verdächtigen"  

Somit kannst Du live mitverfolgen, was die IP-Adresse veranstaltet.
Wenn man dann uuuunbedingt möchte, könnte man auch noch mit IPTABLES ggf. diese IP-Adresse via Script dann blocken indem eine Regel hinzugefügt wird. Bitte dann nicht vergessen, diese dann auch wieder zu löschen face-smile ... Aber das werde ich jetzt hier nicht erklären, da das hier zu sehr ausschweifen würde...

Vielleicht habe ich schon eine kleine Anregung gegeben.

Gruß

Markus
Mitglied: nEmEsIs
nEmEsIs 04.11.2008 um 18:58:09 Uhr
Goto Top
Hi Markus
da ich aber nicht weiß wer der verdächtige ist hab ich da bei 120 clients schlechte Changen ... wenn dann müsste ich sowas für jede IP machen und ob ich dann da sehe wieviel kb pro secunde durchfließen bezweifel ich ... da wenn es sich um eine Tauschbörse handelt oder ähnliches das sicher nicht mit http:// anfängt ... aber danke für den Befehl, dann kann ich schon mal stichproben durchführen ...

Mfg Nemesis
Mitglied: problemsolver
problemsolver 04.11.2008 um 23:27:18 Uhr
Goto Top
Hi Nemesis,

es hört sich alles komplizierter an, wie es eigentlich ist.
Die Verwendung von iftop, grep und tail ist reeeelativ leich erlernt und die weiteren Ideen dazu fallen einem auch dann schnell ein face-smile

Es gibt allerdings noch eine andere Idee, die ich Dir nicht vorenthalten möchte:
Du könntest mit dem sog. SARG (Squid Analysis Report Generator) dir eine Übersicht von den am häufigsten besuchten Seiten von den Rechnern machen. ( http://sarg.sourceforge.net )

Je nach Einstellung deines Squids umfassen die access.log Dateien mehrere Tage (meistens eine Woche).
Diese benötigt der Sarg zur Auswertung. Die Ausgabe sieht so aus, dass SARG HTML Seiten erstellt, die du dann direkt auf dem Webserver der Linuxmaschine anschauen kannst. (sofern einer installiert ist)

Um allerdings wirklich eine gute Datenbasis zu haben, gehe ich von festen Client-IPs bei den Rechnern im Klassenraum aus. (alternativ bietet sich auch eine Authentifizierung am Squid an, was die Sache allerdings wieder verkompliziert. Ich vermute, dass Du einen transparenten Proxy bei euch aufgesetzt hast...)
Beispiel für eine Auswertung mit SARG
#Get current date
TODAY=$(date +%d/%m/%Y)

#Get Yesterday's Date  
YESTERDAY=$(date --date "1 day ago" +%d/%m/%Y)  

/usr/bin/sarg -l /var/log/squid/access.log -o /var/www/htdocs/squid-reports/weekly -z -d $YESTERDAY-$TODAY
Hierbei würde eine Auswertung über die Access.log gehen, die vom gestrigen Tag bis zum heutigen Tag reicht. Die Auswertung würde dann in einen Pfad geschrieben werden, der in dem Squid-reports Verzeichnis in deinem Webroot (htdocs) landet.

Du könntest dann genau sehen, welcher Rechner zu welcher Uhrzeit auf welcher Seite gelandet wäre. Auch die Topsites würden zusätzlich aufgelistet werden... Naja... Bei Interesse kannst Du Dich ja mal in das Thema einarbeiten. Ist auch alles nicht so schwer face-smile

Weiterhin viel Erfolg face-smile

Gruß

Markus