Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Squid überwachungsprogramm

Frage Linux

Mitglied: nEmEsIs

nEmEsIs (Level 2) - Jetzt verbinden

04.11.2008, aktualisiert 23:27 Uhr, 9043 Aufrufe, 4 Kommentare

Hi @ all
Habe folgendes Problem:
Habe einen Squid Server unter Linux in einem Schulnetzwerk am laufen und dort schaffen es ein Schüler immerwieder den Squid Proxy zu umgehen.
Das führ dazu das die DSL Leitung zu ist bis zum geht nicht mehr. Ich vermute es ist ein einzelner.... Sind grob 120 Clients.
Ich kenne es von der Kerio Winrout Firewall das man von jeder IP den aktuellen down und up Stream beobachten kann, also wieviel kb der einzelne
von der Leitung verwendet....
Und sowas such ich am besten Grafisch für den Squid, um zu sehen wer im Netzwerk wieviel KB/sec verbraucht um zu sehen ob es sich dabei wirklich um einen Downloader handelt.
Ich brauche nix, wo ich sehen kann wieviel Volumen der einzelen User in letzer Zeit verbraucht hat, da dies denk ich mal net da auffällt wenn zb. der Downloader sich nen Tunnel über Port 443 aufgebaut hat via VPN oder ähnlichem.
Desweitern stellt sich dir Frage, ob es vielleicht möglich ist mit einem P2P-Client und eintragen des Proxy´s möglich ist herrauszukommen.
Wenn ich einen Externen Proxy eintrage geht dies nicht, das ist schon abgeschaltet.

Hoffe ihr könnt mir helfen

MFG Nemesis

PS: Ein Programm um den Squid extern zu Überwachen währe hilfreich.
Mitglied: Alphavil
04.11.2008 um 14:54 Uhr
Um so etwas zu überwachen gibts nur eins:

Nagios und hier das passende Portal dazu: http://www.nagios-portal.org

Ansonsten gibt es zum Squid noch einen SquidGuard den du dahinter hängen kannst


Greetz André
Bitte warten ..
Mitglied: problemsolver
04.11.2008 um 16:43 Uhr
Hi,

was für eine Linuxversion hast Du im Einsatz?
Versuch doch mal an der Konsole:
(... iftop - display bandwidth usage on an interface by host ...)
01.
iftop
Mit iftop --help oder man iftop kannst Du Dir die Hilfe anzeigen lassen.
Mit iftop -i eht0 oder eth1 kann man dann den traffic noch auf ein Interface begrenzen. Ich würde Dir die interne Netzwerkkarte empfehlen...
Dadurch kannst Du ermitteln, wer wieviel Traffic gerade verursacht wird und wohin die Verbindung mit Quelle und Ziel aufgebaut worden ist.

Ansonsten müsstest Du Dir die access.log Datei des Squids mal mit tail -f /var/log/squid/access.log anschauen... so hättest Du auch noch eine live Übersicht der aufgerufenen Seiten... Wahrscheinlich jedoch zuviel Input. Wenn Du dann noch "Beweise" benötigst wäre Folgendes möglich:

01.
tail -f /var/log/squid/access.log | grep "die-ip-adresse-des-verdächtigen"
Somit kannst Du live mitverfolgen, was die IP-Adresse veranstaltet.
Wenn man dann uuuunbedingt möchte, könnte man auch noch mit IPTABLES ggf. diese IP-Adresse via Script dann blocken indem eine Regel hinzugefügt wird. Bitte dann nicht vergessen, diese dann auch wieder zu löschen ... Aber das werde ich jetzt hier nicht erklären, da das hier zu sehr ausschweifen würde...

Vielleicht habe ich schon eine kleine Anregung gegeben.

Gruß

Markus
Bitte warten ..
Mitglied: nEmEsIs
04.11.2008 um 18:58 Uhr
Hi Markus
da ich aber nicht weiß wer der verdächtige ist hab ich da bei 120 clients schlechte Changen ... wenn dann müsste ich sowas für jede IP machen und ob ich dann da sehe wieviel kb pro secunde durchfließen bezweifel ich ... da wenn es sich um eine Tauschbörse handelt oder ähnliches das sicher nicht mit http:// anfängt ... aber danke für den Befehl, dann kann ich schon mal stichproben durchführen ...

Mfg Nemesis
Bitte warten ..
Mitglied: problemsolver
04.11.2008 um 23:27 Uhr
Hi Nemesis,

es hört sich alles komplizierter an, wie es eigentlich ist.
Die Verwendung von iftop, grep und tail ist reeeelativ leich erlernt und die weiteren Ideen dazu fallen einem auch dann schnell ein

Es gibt allerdings noch eine andere Idee, die ich Dir nicht vorenthalten möchte:
Du könntest mit dem sog. SARG (Squid Analysis Report Generator) dir eine Übersicht von den am häufigsten besuchten Seiten von den Rechnern machen. ( http://sarg.sourceforge.net )

Je nach Einstellung deines Squids umfassen die access.log Dateien mehrere Tage (meistens eine Woche).
Diese benötigt der Sarg zur Auswertung. Die Ausgabe sieht so aus, dass SARG HTML Seiten erstellt, die du dann direkt auf dem Webserver der Linuxmaschine anschauen kannst. (sofern einer installiert ist)

Um allerdings wirklich eine gute Datenbasis zu haben, gehe ich von festen Client-IPs bei den Rechnern im Klassenraum aus. (alternativ bietet sich auch eine Authentifizierung am Squid an, was die Sache allerdings wieder verkompliziert. Ich vermute, dass Du einen transparenten Proxy bei euch aufgesetzt hast...)
Beispiel für eine Auswertung mit SARG
01.
#Get current date 
02.
TODAY=$(date +%d/%m/%Y) 
03.
 
04.
#Get Yesterday's Date 
05.
YESTERDAY=$(date --date "1 day ago" +%d/%m/%Y) 
06.
 
07.
/usr/bin/sarg -l /var/log/squid/access.log -o /var/www/htdocs/squid-reports/weekly -z -d $YESTERDAY-$TODAY
Hierbei würde eine Auswertung über die Access.log gehen, die vom gestrigen Tag bis zum heutigen Tag reicht. Die Auswertung würde dann in einen Pfad geschrieben werden, der in dem Squid-reports Verzeichnis in deinem Webroot (htdocs) landet.

Du könntest dann genau sehen, welcher Rechner zu welcher Uhrzeit auf welcher Seite gelandet wäre. Auch die Topsites würden zusätzlich aufgelistet werden... Naja... Bei Interesse kannst Du Dich ja mal in das Thema einarbeiten. Ist auch alles nicht so schwer

Weiterhin viel Erfolg

Gruß

Markus
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
PfSense + Squid + ClamAV (5)

Frage von mrserious73 zum Thema Firewall ...

Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

Monitoring
Squid als Proxy OK als GW NOK (3)

Frage von vikozo zum Thema Monitoring ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...