Boa tarde amigos,
Meu servidor está com Squid como proxy, e gostaria de saber o que cada estação está visualizando, e quanto está "baixando" da internet, o que me indicam pra usar?
Obrigado,
[]s
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Bom, penso que o bom e velho iptraf resolve seu problema. Se seu DNS interno estiver configurado, ele vai entregar até o nome dos hosts.
2011/6/27 Fellipe Henrique fellipeh@gmail.com
2011/6/27 Fellipe Henrique fellipeh@gmail.com
http://serverfault.com/questions/23047/what-is-a-good-squid-logs-analyzer
Verifique qual é o acordo que sua empresa tem com os funcionários em relação a privacidade dessa informação (se for utilizar para algo além de resolução de problemas, etc).
Opa... O Giovanni trouxe outra ferramenta bacana, mas assim como SARG ela é de monitoramento passivo.
A dica do iptraf é pra monitoramento ativo, ou seja, o que está acontecendo naquele exato momento.
Eu uso SARG há vários anos em vários servidores proxy e gosto bastante.
Aproveitando, se existir algum software que faz a leitura "ao vivo" do access.log, por favor, indiquem!
Abraço!
2011/6/27 Giovanni Tirloni gtirloni@sysdroid.com
2011/6/27 FábioTux® fabiotux@gmail.com
O problema com o IPTraf é que você só estará vendo as conexões (o que já ajuda para identificar algum abuso). Mas achei que a pergunta era mais direcionada às páginas acessadas pelo Squid.
tail -f
:-)
ahaha! Boa, Giovanni.
tail -f é o arroz/feijão, mas tem tanta info no access.log que dá pra enlouquecer (se bem que basta usar umas expressões regulares pra filtrar só o que interessa).
Ah, aproveitando que você falou em "abuso", o que normalmente faço é dar uma olhada com um pequeno utilitário chamado bwn-ng, que mostra o consumo de banda por interface de rede. Se percebo que "a coisa tá feia", acesso o iptraf e filtro as conexões que estão acessando o squid (porta 3389 por padrão) pra identificar o host que eventualmente está abusando ou acabo usando o tail -f /var/log/squid/access.log.
Isso me dá a chance de dar uma resposta imediata aos entraves do acesso à Internet e os Logs do SARG serverm para documentar o abuso naquele acesso em particular.
Enfim...é isso aí!
Abraço!
2011/6/27 Giovanni Tirloni gtirloni@sysdroid.com
Muito obrigado amigos.. o que eu queria mesmo é ver o que cada um acessou, e o quanto cada um acessou.. vendo o sarg ele me atende muito bem...
mais uma vez obrigado a todos..
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 27 de junho de 2011 18:00, FábioTux® fabiotux@gmail.com escreveu:
eu gosto do ntop.
ele indicatudo isso....e muito mais
Em 27 de junho de 2011 19:44, Fellipe Henrique fellipeh@gmail.comescreveu:
Complementando o FábioTux ...
Faz uns anos que trabalho com Squid e realmente o tail -f foi o que mais me ajudou... claro que temos que lembrar dos filtros grep !
Exemplo:
# tail -f /var/log/squid3/access.log | grep -i 192.168.0.40 | grep -i tcp_denied
Com este comando consigo ver todos os bloqueios que o squid faz ao ip 192.168.0.40 em tempo real!
Me ajudou muito sempre!
Espero que a dica seja útil! Abraço!
Em 27-06-2011 18:00, FábioTux® escreveu:
Rafael,
Apenas para conhecimento, mas creio que para números não é necessário o uso do parâmetro -i no grep, no filtro do IP. Esse parâmetro -i é usado apenas para o grep não distinguir maiúsculo de minusculo. #ficadica
2011/6/29 Rafael Henrique da Silva Correia rafael@abraseucodigo.com.br:
Amigos,
Consegui descobrir o problema do "chupa-banda" aqui da firma.. são downloads de vídeos e etc.. consegui barrar os downloads pelo squid.. se for um link direto.. mas se for um link que seja dentro de um e-mail por exemplo eu nao consigo barrar.. ou mesmo o seguinte.. consegui barrar o download do .torrent ... mas se alguem traz o arquivo de casa, e entra no torrent ele deixa baixar... :(
Alguma dica de como proceder nesse caso?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 08:30, Felipe Nolasco felipenolasco@gmail.comescreveu:
Bloqueia no firewall a porta que o torrent esta utlizando. O squid só vai bloquear o que é navegação.
2011/6/30 Fellipe Henrique fellipeh@gmail.com
O problema é que, já bloqueie... mas a porcaria do programa fica indo de porta em porta.. só se eu barrar tudo... mas aí pode complicar os outros programas..
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:02, Guilherme Moraes guimfonseca@gmail.comescreveu:
A politica do Forward do firewall deveria ser DROP e liberar apenas as portas que realmente precisa.
Dessa for vc iria conseguir bloquear o torrent.
At,
2011/6/30 Fellipe Henrique fellipeh@gmail.com
hum...
meu script está desta forma...
#!/bin/bash
# Interface da Internet ifinternet="ppp0"
# Interface Local iflocal="eth0"
iniciar(){ modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE echo "compartilhamento ativado"
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128 echo "proxy transparente ativado"
# permite conexoes na interface de rede local e na porta 22 iptables -A INPUT -i $iflocal -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 2891 -j ACCEPT iptables -A INPUT -p tcp --dport 1963 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# regras basicas de firewall iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -p tcp --syn -j DROP
# bloqueia portas UDP de 0 a 1023 iptables -A INPUT -p udp --dport 0:1023 -j DROP
# redirecionando portas echo "Iniciando redir de portas" echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -p tcp --dport 3050 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT --to 192.168.1.3 iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport 22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT --to 192.168.1.4 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT --to 192.168.1.7 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT --to 192.168.1.9 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT --to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT --to 192.168.1.10 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT --to 192.168.1.7
echo "redir realizado com sucesso"
echo "" echo "> Regras do firewall e compartilhamento ativadas" }
parar(){ iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT echo 0 > /proc/sys/net/ipv4/ip_forward echo "Regras de firewall desativadas" }
case $1 in "start") iniciar ;; "stop") parar ;; "restart") parar; iniciar ;; *) echo "use: start ou stop" esac
a linha >> iptables -A INPUT -p tcp --syn -j DROP não deveria fazer isso? ou fiz o processo errado?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:08, Guilherme Moraes guimfonseca@gmail.comescreveu:
Só adicionando ... o maior problema é mesmo os downloads do email.. arquivos ISO, WMV.. Rádio via internet e etc... como barrar isso?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:04, Fellipe Henrique fellipeh@gmail.comescreveu:
Buenas.
O que tu pode fazer é ficar monitorando pega os links mais utlizados e toca no squid, e ou usar alguns blacklist junto do squidguard.
Firewall drop em tudo, e vai liberando o que precisa.
Prefiro sempre fechar toda a rede e liberar o que é necessário.
Boa Sorte.
-- att Marcos Carraro Linux user #511627
Em 30 de junho de 2011 11:09, Fellipe Henrique fellipeh@gmail.comescreveu:
Bloqueia no firewall um range grande de portas altas, o torrent pode mudar as portas, ou libera apenas as portas 80, 443.
Em 30 de junho de 2011 11:00, Fellipe Henrique fellipeh@gmail.comescreveu:
bloqueia no firewall por string
Em 30 de junho de 2011 11:20, Gracco Guimarães gracco.cerqueira@gmail.comescreveu:
Desculpe-me, mas iniciante como sou, como eu faço isso?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 11:31, GRIFFO Consultoria & Treinamentos - Rodrigo Griffo rodrigogriffo@gmail.com escreveu:
Você tem um firewall na rede? Ou apenas um roteador? Alguém sabe se tem como bloquear torrent no squid? A forma mais simples seria pelo firewall.
Em 30 de junho de 2011 13:36, Fellipe Henrique fellipeh@gmail.comescreveu:
tenho sim.. utilizo o iptables+squid.. no servidor, e todos passam por ele pra ir na internet..
ah.. estou tentando colocar o squidguard... rsrs.. apanhando aqui, mas vamos ver se consigo..
[]s
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 14:09, Gracco Guimarães gracco.cerqueira@gmail.comescreveu:
Você vai configurar o bloqueio no próprio iptables. Ja que tudo passa por ele.
Em 30 de junho de 2011 14:12, Fellipe Henrique fellipeh@gmail.comescreveu:
O mais interessante é que tentei bloquear todas as portas, conforme o script que enviei alguns minutos atrás... mas não funciona.. com certeza tem algo errado no script..
>>
#!/bin/bash
# Interface da Internet ifinternet="ppp0"
# Interface Local iflocal="eth0"
iniciar(){ modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE iptables -t nat -A POSTROUTING -o $iflocal -j MASQUERADE echo "compartilhamento ativado"
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128 echo "proxy transparente ativado"
# permite conexoes na interface de rede local e na porta 22 iptables -A INPUT -i $iflocal -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 2891 -j ACCEPT iptables -A INPUT -p tcp --dport 1963 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# regras basicas de firewall iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -p tcp --syn -j DROP
# bloqueia portas UDP de 0 a 1023 iptables -A INPUT -p udp --dport 0:1023 -j DROP
# redirecionando portas echo "Iniciando redir de portas" echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -p tcp --dport 3050 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36001 -j DNAT --to 192.168.1.3 iptables -t nat -A PREROUTING -p tcp -i $ifinternet -m multiport --dport 22619,22646,42041,37164,8095,36002 -j DNAT --to 192.168.1.2 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36003 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36004 -j DNAT --to 192.168.1.4 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36005 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36006 -j DNAT --to 192.168.1.7 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36007 -j DNAT --to 192.168.1.9 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 36008 -j DNAT --to 192.168.1.10
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37001 -j DNAT --to 192.168.1.10 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37002 -j DNAT --to 192.168.1.6 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37003 -j DNAT --to 192.168.1.8 iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 37004 -j DNAT --to 192.168.1.7
echo "redir realizado com sucesso"
echo "" echo "> Regras do firewall e compartilhamento ativadas" }
parar(){ iptables -F iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT echo 0 > /proc/sys/net/ipv4/ip_forward echo "Regras de firewall desativadas" }
case $1 in "start") iniciar ;; "stop") parar ;; "restart") parar; iniciar ;; *) echo "use: start ou stop" esac
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 30 de junho de 2011 14:37, Gracco Guimarães gracco.cerqueira@gmail.comescreveu:
cara larga um OUTPUT -j DROP FOWARD -j DROP INPUT -j DROP
depois vai abrindo e liberando o que tu precisa se torna até mais fácil configurar assim, e tu tens uma melhor visualização de como esta a tua rede.
-- att Marcos Carraro Linux user #511627
Em 30 de junho de 2011 14:44, Fellipe Henrique fellipeh@gmail.comescreveu:
Em Mon, 27 Jun 2011 17:48:27 -0300 FábioTux® fabiotux@gmail.com, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu:
A dica do iptraf é pra monitoramento ativo, ou seja, o que está acontecendo naquele exato momento.
mas grava *log para (re)leitura posterior. RTFM
Cara par visualizar em tempo real te aconselho fortemente a utilizar o sqstat é em php com js muito bom. http://samm.kiev.ua/sqstat/
Para relatórios, o sarg ainda esta na frente, mas curti este LightSquid. vou fazer testes aqui na empresa.
-- att Marcos Carraro Linux user #511627
Em 27 de junho de 2011 21:38, irado furioso com tudo irado@bsd.com.brescreveu:
Amigos, estou tendo um probleminha quanto ao sarg... instalei, e gerei os arquivos pelo próprio sarg.. pois bem, não consigo acessar pelo Browser... Forbidden
You don't have permission to access /sarg on this server.
Sei que o problema está nas permissões, mas está tudo certinho - pelo menos acredito que sim, segue os arquivos:
drw-r-xr-x 2 apache apache 4,0K Set 12 2007 daily
-rw-r-xr-x 1 apache apache 1,3K Set 12 2007 index.html
drw-r-xr-x 2 apache apache 4,0K Set 12 2007 monthly
drw-r-xr-x 5 apache apache 4,0K Jun 28 10:05 ONE-SHOT
-rw-r-xr-x 1 apache apache 2,4K Jan 2 2007 sarg.css
drw-r-xr-x 2 apache apache 4,0K Set 12 2007 weekly
consigo acessar a pasta /var/www pelo Browser normalmente, mas a pasta do sarg não vai.. o que pode ser?
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 28 de junho de 2011 08:06, Marcos Carraro marcos.g.carraro@gmail.comescreveu:
verifica o teu sarg.conf se ele esta jogando lá os logs, verifica teu httpd.conf onde fica a raiz, pois isso deve ser a opção de -Noindex que dai quando não existe o index.qualquer coisa ele não lista por uma segurança.
abraços
-- att Marcos Carraro Linux user #511627
Em 28 de junho de 2011 10:17, Fellipe Henrique fellipeh@gmail.comescreveu:
Boa tarde,
Sim, existe tudo, inclusive os arquivos estão lá: /var/www/sarg porém não tem permissao pra ver nada pelo browser.. :(
[]s
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 28 de junho de 2011 12:01, Marcos Carraro marcos.g.carraro@gmail.comescreveu:
2011/6/28 Fellipe Henrique fellipeh@gmail.com
Acho que tá faltando um 'x' ali pro owner :-)
chmod 755 nesses diretórios e vê o que acontece. o usuário do apache tem que ter acesso para acessar os diretórios.
http://en.wikipedia.org/wiki/Filesystem_permissions#Traditional_Unix_permiss...
Olá,
Eu já tinha tentado tudo quanto é chmod... e mesmo assim ainda continua dando Forbidden... eu realmente não estou entendendo...
[]s
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 28 de junho de 2011 13:32, Giovanni Tirloni gtirloni@sysdroid.comescreveu:
isso pode ser por causa do
FollowSymLinks no virtual server. e/ou DirectoryIndex index.php
Tenta acessar alguma pagina diretamente pelo navegar.
2011/6/28 Fellipe Henrique fellipeh@gmail.com
Realmente.. coloquei um arquivo php lá, e nada de entrar... tentei olhar no httpd.conf e nao vi nada de diferente que pudesse me chamar a atencao..
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 28 de junho de 2011 13:48, Guilherme Moraes guimfonseca@gmail.comescreveu:
Fellipe,
Dê uma olhada no arquivo /etc/httpd/conf.d/sarg.conf e veja a linha Allow from Geralmente ele vem apenas dando permissão local, tente colocar o range IP da sua rede.
Vlw!!
2011/6/28 Fellipe Henrique fellipeh@gmail.com:
Cara.. matou a charada!! Valeu... só tava pra localhost.. coloquei pra rede local e tá aceitando agora...
Agora é só criar um script pra colocar no cron pra gerar todo dia...
Obrigado amigos..
T.·.F.·.A.·. S+F
*Fellipe Henrique P. Soares*
Analista e Desenvolvedor de Softwares for Win32 Linux Administrator
Em 28 de junho de 2011 14:11, Felipe Nolasco felipenolasco@gmail.comescreveu:
discuss-pt-br@lists.centos.org