On Wed, Dec 12, 2001 at 01:11:01PM +0100, Mirko Richter wrote:
Am Dienstag 11 Dezember 2001 22:13 schrieben Sie:
Hi Liste!
Kann es sein, daß nach dem Starten von Squid mit Standardeinstellung von SuSE 7.2 und Konfiguration des
Hast Du den Squid auch richtig konfiguriert? Schau mal in /etc/squid.conf die ist auch sehr gut kommentiert.
Das einzige was ich geändert habe ist: bie acl meinen Rechner hinzugefügt, die Nameserver vom Provider eingetragen.
Browsers auf HTTP-Proxy das Surfen plötzlich langsamer ist als zuvor???? (Also schneller ist es 100%ig nicht).
was steht im squid.log?
Sowas gibt es bei mir gar nicht. Unter /var/squid/logs gibt es was: access.log -> 3 Arten von Zeilen: 1008187237.220 2643 10.0.0.154 TCP_MISS/200 69369 GET http://fusion.webdream.com/10secs/clip40/clip40.asf - DIRECT/fusion.webdream.com text/plain 1008187256.299 1011 10.0.0.154 TCP_REFRESH_HIT/304 226 GET http://www.thehun.com/ - DIRECT/www.thehun.com - 1008187256.324 23 10.0.0.154 TCP_IMS_HIT/304 210 GET http://www.bangkokbrothelgirls.com/bann/thaihookers.jpg - NONE/- image/jpeg (wobei TCP_MISS am häufigsten vorkommt. store.log -> 2 Arten von Zeilen (ca. 50/50 Verteilung) 1008187315.263 SWAPOUT 00000440 200 1008184571 1006786439 -1 image/jpeg 2981/2981 GET http://my.genie.co.uk/mucka12/hard047_6.jpg 1008187315.472 RELEASE FFFFFFFF 200 1008184570 -1 1008187315 image/gif -1/6152 GET http://counter1.sextracker.com/c6/id/1/211696 cache.log 2001/12/08 10:31:01| Squid Cache (Version 2.3.STABLE4-hno.CVS): Exiting normally. 2001/12/08 10:31:11| Starting Squid Cache version 2.3.STABLE4-hno.CVS for i686-pc-linux-gnu... 2001/12/08 10:31:11| Process ID 1027 2001/12/08 10:31:11| With 1024 file descriptors available 2001/12/08 10:31:11| Performing DNS Tests... 2001/12/08 10:31:11| Successful DNS name lookup tests... 2001/12/08 10:31:11| DNS Socket created on FD 1 2001/12/08 10:31:11| Adding nameserver 195.3.96.67 from squid.conf 2001/12/08 10:31:11| Adding nameserver 195.3.96.68 from squid.conf 2001/12/08 10:31:11| Unlinkd pipe opened on FD 6 2001/12/08 10:31:11| Swap maxSize 102400 KB, estimated 17066 objects 2001/12/08 10:31:11| Target number of buckets: 341 2001/12/08 10:31:11| Using 8192 Store buckets 2001/12/08 10:31:11| Max Mem size: 8192 KB 2001/12/08 10:31:11| Max Swap size: 102400 KB 2001/12/08 10:31:11| Rebuilding storage in /var/squid/cache (CLEAN) 2001/12/08 10:31:11| Set Current Directory to /var/squid/cache 2001/12/08 10:31:11| Loaded Icons. 2001/12/08 10:31:11| Accepting HTTP connections at 0.0.0.0, port 3128, FD 7. 2001/12/08 10:31:11| Accepting ICP messages at 0.0.0.0, port 3130, FD 8. 2001/12/08 10:31:11| Accepting HTCP messages on port 0, FD 9. 2001/12/08 10:31:11| WCCP Disabled. 2001/12/08 10:31:11| Ready to serve requests. 2001/12/08 10:32:15| Done scanning /var/squid/cache swaplog (0 entries) 2001/12/08 10:32:15| Finished rebuilding storage from disk. 2001/12/08 10:32:15| 0 Entries scanned 2001/12/08 10:32:15| 0 Invalid entries. 2001/12/08 10:32:15| 0 With invalid flags. 2001/12/08 10:32:15| 0 Objects loaded. 2001/12/08 10:32:15| 0 Objects expired. 2001/12/08 10:32:15| 0 Objects cancelled. 2001/12/08 10:32:15| 0 Duplicate URLs purged. 2001/12/08 10:32:15| 0 Swapfile clashes avoided. 2001/12/08 10:32:15| Took 64.0 seconds ( 0.0 objects/sec). 2001/12/08 10:32:15| Beginning Validation Procedure 2001/12/08 10:32:15| Completed Validation Procedure 2001/12/08 10:32:15| Validated 0 Entries 2001/12/08 10:32:15| store_swap_size = 21k 2001/12/08 10:32:17| storeLateRelease: released 0 objects 2001/12/09 19:08:00| Preparing for shutdown after 2074 requests 2001/12/09 19:08:00| Waiting 30 seconds for active connections to finish 2001/12/09 19:08:00| FD 7 Closing HTTP connection 2001/12/09 19:08:02| Shutting down... 2001/12/09 19:08:02| FD 8 Closing ICP connection 2001/12/09 19:08:02| FD 9 Closing HTCP socket 2001/12/09 19:08:02| Closing unlinkd pipe on FD 6 2001/12/09 19:08:02| storeDirWriteCleanLogs: Starting... 2001/12/09 19:08:02| Finished. Wrote 644 entries. 2001/12/09 19:08:02| Took 0.5 seconds (1360.0 entries/sec). CPU Usage: 55.760 seconds = 12.300 user + 43.460 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 568 Memory usage for squid via mallinfo(): total space in arena: 7378 KB Ordinary blocks: 7338 KB 61 blks Small blocks: 0 KB 0 blks Holding blocks: 176 KB 1 blks Free Small blocks: 0 KB Free Ordinary blocks: 40 KB Total in use: 7514 KB 102% Total free: 40 KB 1% Davon gibt es mehrere ähnliche Blöcke.
Kann jemand mit dem etwas anfangen?
Dec 11 17:36:00 casper kernel: INPUT: IN=ppp0 OUT= MAC= SRC=213.33.42.84 DST=213.33.9.253 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=48886 DF PROTO=TCP SPT=4762 DPT=27374 WINDOW=32768 RES=0x00 SYN URGP=0 -> unbekannter Port -> Angriff? .................... cut .......................
Dec 11 07:43:16 casper kernel: INPUT: IN=ppp0 OUT= MAC= SRC=202.101.43.24 DST=213.33.9.253 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=17605 DF PROTO=TCP SPT=2795 DPT=53 WINDOW=32120 RES=0x00 SYN URGP=0 -> DNS, kommt aber von keinem der beiden Provider-DNS die ich eingestellt habe (195.3.96.6[78]) -> also sicher ein Angriff.
Kann sein, muß aber nicht sein.
Ist deine IP dynamisch zugewiesen? Scheint so, daß du ein TDSL anschluß nutzt. Wenn die IP dynamisch zugewiesen wird, dann hat sie auch jemand anders vor dir gehabt und wenn er sine Verbindung abgebaut hat, obwohl noch TCP-Verbindungen zu anderen Rechnern offen waren werden die Pakete, die an ihn gehen sollten, jetzt bei dir aufschlagen. Dein Rechner kann dann damit nichts anfangen und "nörgelt rum".
Krks, auf so etwas wäre ich nie gekommen, danke für den Tip!
Ein Tip wie immer _NICHTS_ nach außen offen haben, was nicht gebraucht wird!!!
*ggg* Ja klar, aber das Problem ist halt: Woher weiß ich was er braucht? Ich habe einige Ports geöffnet, und es hat alles gefunzt, aber wenn ich dann trotzdem innerhalb 1 Minute 150 Zeilen in der /var/log/messages von der Firewall habe, daß die UDP-Verbindung zum Provider DNS verwehrt wurde, habe ich sie halt auch noch freigegeben. Für was braucht der denn UDP und TCP gleichzeitig? TCP müßte doch vollkommen genügen. Ein anderes Beispiel: Ich habe keine Ahnung was Netbios NS und Netbios Datagrammservice ist, und hatte es denyd. Erst als ich merkte, daß ich auf die Sambalaufwerke nicht mehr zugreifen konnte wurde ich stutzig und habe das jetzt freigegeben. Und das sind nur 2 Beispiele. -> So sieht es bei 98% meiner Firewallregeln aus. -> Mal in die syslog sehen -> Aha, das scheint er zu brauchen (was weiß ich wieso) -> freigeben. Ich habe bis jetzt noch keine Doku gefunden die Aufschluß über die ganzen Services gibt. mfg Martin