teszt jellegű proxy

Debian GNU/Linux

teszt jellegű proxy

  • 548 megtekintés

( lacika v | 2005. 01. 25., k – 00:33 )

Tiszteletem Mindenkinek,

Beüzemeltem egy Squid alapú proxyt. Egyelőre csak teszt jelleggel üzemel. A teszt célja, hogy az általam konfigurált és fordított proxynak megnézzem e teherbíró képességeit. Aki szeretne részt venni a tesztelésben, az küldjön egy e-mailt a laszlo.laszlo@itm.hu címre és írja meg benne a használni kívánt felhasználónév és jelszó párost és azt hogy milyen típusú és sebességű kapcsolattal rendelkezik. Persze e-mailben megküldöm a proxy IP-jét és a portját. A hitelesítést csak a teszt időszaka alatt fogja kérni a szerver, ha jól és megbízhatóan működik, akkor a hitelesítést meg fogom szüntetni. Tapasztalatokat, észrevételeket ide a fórumban vagy a fent említett e-mail címre várok. Előre is köszönöm mindenki segítségét.

Laci

( lacika v | 2005. 01. 25., k – 06:20 )

Fáradt fejemmel lehagytam egy fontos paramétert. A szervernek 100 Mbits/s full duplex kapcsolata van a MATAV gerincvonalára.

Laci

( foci v | 2005. 01. 25., k – 07:57 )

Hmm..)))
Ilyet kinomban En is csinaltam egyszer....
aztan honkongbol kuldozgettek rajta keresztul leveleket....
(SPAMAT!!!) Ugy hogy en nem tennem...
...

( lacika v | 2005. 01. 25., k – 08:25 )

[quote:efbee822d5="foci"]Hmm..)))
Ilyet kinomban En is csinaltam egyszer....
aztan honkongbol kuldozgettek rajta keresztul leveleket....
(SPAMAT!!!) Ugy hogy en nem tennem...
...

Hogyan küldözgetnek leveleket egy proxy szerveren keresztül...???

Laci

( Panther v | 2005. 01. 25., k – 09:44 )

meg CONNECT.

Nálam 80-as porton is folyton IRC-re akarnak csatlakozni (ugyanarról az ip címről, ugyazon gép ugyanazon portjára). Sajna a mod_proxy nincs bekapcsolva az apache-ban 8)

( drastik | 2005. 01. 25., k – 09:49 )

tuzfalban ipre korlatozva a proxyt

en most ott tartok hogy lassan egesz koreat kitiltom az osszes szerveremrol

:)

( Panther v | 2005. 01. 25., k – 09:56 )

22-es és 80-as portnál már egy hosszú lista van, hogy kiket tiltok ki a gépről. Mivel nincs kedvem ellenőrizni, hogy most dinamikus ip cím vagy nem, ezért hálózatokat tiltok ki, sokszor /8, néha /16 vagy /24 netmaskkal. Alapesetben drop target, de ha a tarpit a kernelben van, akkor inkább az.

Ezt 22-es portra el lehet követni, de 80-asra már csak otthoni gép esetén - a meglátásom szerint legalábbis :(

( drastik | 2005. 01. 25., k – 10:46 )

[quote:46a7fb2eb2="Panther"]22-es és 80-as portnál már egy hosszú lista van, hogy kiket tiltok ki a gépről. Mivel nincs kedvem ellenőrizni, hogy most dinamikus ip cím vagy nem, ezért hálózatokat tiltok ki, sokszor /8, néha /16 vagy /24 netmaskkal. Alapesetben drop target, de ha a tarpit a kernelben van, akkor inkább az.

Ezt 22-es portra el lehet követni, de 80-asra már csak otthoni gép esetén - a meglátásom szerint legalábbis :(

kellene egy ilyen blacklist

en cidr-et tiltom ki

sshd bruteforcolosok meg az apacsot is sokan probaljak megnyomni

ezekrol kellene egy lista es mondjuk naponta frissiteni+ levelet kuldeni a szolgaltatonak

( Panther v | 2005. 01. 25., k – 11:00 )

nekem most lényegében 22-es portra ezek vannak:
40.0.0.0/8
24.150.41.208
24.39.114.250
38.0.0.0/8
61.0.0.0/8
62.193.225.147
64.0.0.0/5
80.207.208.85
81.128.189.0/24
83.17.0.0/16
129.0.0.0/8
134.0.0.0/8
140.115.238.251
141.0.0.0/8
148.215.14.181
192.0.0.0/3

Itt ráúnram arra, hogy egy-két gépet kellene számon tartani, és ezért jött a hálózat tiltás. Egy fájlban vannak nekem ezek. Most épp kb 30 sorból csináltam kettőt (/5 és /3 netmaszk :D )
Igazából a jó megoldás ez lenne:egy scripttel ellenőrizném a logokat és abból kiszűrném az ip címeket és beleraknám egy fájlba.

A 80-as port kevébé érdekel, meg mostanság nem is fut webszerver, így a lista rövidebb. Ha átnézem a logokat, akkor bővíteni fogom sztem:

62.194.73.230
62.211.192.192
62.211.221.166
80.116.0.0/16
80.142.155.22
80.182.2.222
82.129.28.23
128.193.0.28
157.181.1.129
193.224.51.150
195.228.75.52
195.70.37.253
203.98.177.91
217.224.147.91
221.232.0.0/16
222.47.0.0/16

DE ismétlem, szerintem ez így gányolás.

( zsirfeka | 2005. 01. 25., k – 13:02 )

[quote:f30d8cfaa0="drastik"][quote:f30d8cfaa0="Panther"]22-es és 80-as portnál már egy hosszú lista van, hogy kiket tiltok ki a gépről. Mivel nincs kedvem ellenőrizni, hogy most dinamikus ip cím vagy nem, ezért hálózatokat tiltok ki, sokszor /8, néha /16 vagy /24 netmaskkal. Alapesetben drop target, de ha a tarpit a kernelben van, akkor inkább az.

Ezt 22-es portra el lehet követni, de 80-asra már csak otthoni gép esetén - a meglátásom szerint legalábbis :(

kellene egy ilyen blacklist

en cidr-et tiltom ki

sshd bruteforcolosok meg az apacsot is sokan probaljak megnyomni

ezekrol kellene egy lista es mondjuk naponta frissiteni+ levelet kuldeni a szolgaltatonak

semmit nem ersz vele, nyilvan van egy csomo tort boxuk, ha egyet tiltasz is, jon masikrol. az ilyen probalkozasok nagy resze amugyis autorooter/agyatlan kiddie szerintem, ha nem tud bemenni, odebb all, 2 perc mulva jon 20 masik. az isp-k meg le fogjak szarni alapvetoen az abuse-temaju leveleket. en ssh-t mindenhol szurom, shell accot nem kap kulsos. persze ha muszaj, akkor szopo van. egyebkent pont ilyen celokra csinaltam egy linux kernel modult, aminek "be lehet kopogni", es az adott ip-re nyitja a kert portot (iiletve egyelore csak egy elore meghatarozottat). kene ra szannom idot es letisztazni a kodot, mert kisse meg experimental egy-ket dolog benne :-)

( Panther v | 2005. 01. 25., k – 13:08 )

sajna ez így van. Próbálkoztam egyes gépek szűrésével, de utána jött a következő egy nagyon hasonló ip címről, stb, így a végén megúntam és elkezdtem az általánosabb tiltást. Viszont nem akarom fordítva megoldani, hogy csak onnan lehet ssh-zni, ahonnan engedélyezem, mert esetleg megszívom, h nemtok bejelentkezni.

Az a kernel modul mennyire publikus?

( zsirfeka | 2005. 01. 25., k – 13:12 )

[quote:9debb690eb="Panther"]sajna ez így van. Próbálkoztam egyes gépek szűrésével, de utána jött a következő egy nagyon hasonló ip címről, stb, így a végén megúntam és elkezdtem az általánosabb tiltást. Viszont nem akarom fordítva megoldani, hogy csak onnan lehet ssh-zni, ahonnan engedélyezem, mert esetleg megszívom, h nemtok bejelentkezni.

Az a kernel modul mennyire publikus?

GPL-es, de addig nem akarom publikalni, amig ki nem lesz takaritva a kod. meg egy-ket olyan feature-t is akarok bele rakni, amire eddig nem volt idom. resze lesz a diplomamunkamnak, ugyhogy elvileg rovid idon belul rendbe kell vagni :-)

( drastik | 2005. 01. 25., k – 13:43 )

[quote:a507a44b45="zsirfeka"][quote:a507a44b45="Panther"]sajna ez így van. Próbálkoztam egyes gépek szűrésével, de utána jött a következő egy nagyon hasonló ip címről, stb, így a végén megúntam és elkezdtem az általánosabb tiltást. Viszont nem akarom fordítva megoldani, hogy csak onnan lehet ssh-zni, ahonnan engedélyezem, mert esetleg megszívom, h nemtok bejelentkezni.

Az a kernel modul mennyire publikus?

GPL-es, de addig nem akarom publikalni, amig ki nem lesz takaritva a kod. meg egy-ket olyan feature-t is akarok bele rakni, amire eddig nem volt idom. resze lesz a diplomamunkamnak, ugyhogy elvileg rovid idon belul rendbe kell vagni :-)

nuh hajra!

csak az a baj hogy a bsdkernellel nem fog menni:)
majd portolja valaki bsdre:)

( zsirfeka | 2005. 01. 25., k – 13:46 )

[quote:e50cba1853="drastik"][quote:e50cba1853="zsirfeka"][quote:e50cba1853="Panther"]sajna ez így van. Próbálkoztam egyes gépek szűrésével, de utána jött a következő egy nagyon hasonló ip címről, stb, így a végén megúntam és elkezdtem az általánosabb tiltást. Viszont nem akarom fordítva megoldani, hogy csak onnan lehet ssh-zni, ahonnan engedélyezem, mert esetleg megszívom, h nemtok bejelentkezni.

Az a kernel modul mennyire publikus?

GPL-es, de addig nem akarom publikalni, amig ki nem lesz takaritva a kod. meg egy-ket olyan feature-t is akarok bele rakni, amire eddig nem volt idom. resze lesz a diplomamunkamnak, ugyhogy elvileg rovid idon belul rendbe kell vagni :-)

nuh hajra!

csak az a baj hogy a bsdkernellel nem fog menni:)
majd portolja valaki bsdre:)

ismerek olyat :-)

( lacika v | 2005. 01. 28., p – 22:29 )

Egy cseppet visszakanyarodva a proxyhoz. Azt tapasztaltam, hogy bizonyos dolgok nehézkesen jönnek át rajta. Pl. audit.median.hu és a hozzá hasonló oldalszámláló cuccokat igen hosszú idő után jeleníti meg. Mi lehet a bibi? Proxy nélkül ugyan abban az időpontban gond nélkül megjelenik a kis számláló képecskék. Próbáltam rájuk az always_direct opciót, de nem volt hatással. Esetleg ezek a szerverek szűrhetik valahogy a proxyt?
Más tapasztalt már ilyet?

Laci

( Panther v | 2005. 01. 28., p – 22:53 )

[quote:69530a17d9="lacika"]Esetleg ezek a szerverek szűrhetik valahogy a proxyt?

A konfig fájlban be lehet állítani, hogy ne küldje el azt, hogy ő egy proxy (az egyik http fejlécsor). Épp nincs kéznél a konfig fájl, így nem tudom, melyik beállítás :(

( lacika v | 2005. 01. 28., p – 22:59 )

Köszike. Megnézem és ha megtalálom, akkor beküldöm.

Laci

( Panther v | 2005. 01. 28., p – 23:24 )

na megvan:
header_access Via deny all
header_access X-Forwarded-For deny all

( lacika v | 2005. 01. 28., p – 23:49 )

[quote:4209ced9d8="Panther"]na megvan:
header_access Via deny all
header_access X-Forwarded-For deny all

Ezek után ezt kapom:

2005/01/28 23:49:33| parseConfigFile: line 2650 unrecognized: 'header_access Via deny all'
2005/01/28 23:49:33| parseConfigFile: line 2651 unrecognized: 'header_access X-Forwarded-For deny all'

A Squid verziója 2.5.STABLE7
Ez nem csak a transparent proxyknál jó?

Laci

( Panther v | 2005. 01. 28., p – 23:52 )

nekem
[ I] 2.5.7 (0) OVERLAY
Egyébként egy SuSE 8.2-ből származó konfig fájlt használok.

Ugye ezek csak 1x vannak beállítva nálad?

Jó ez mindenféle proxyhoz :)

( lacika v | 2005. 01. 28., p – 23:58 )

[quote:897582c4e6="Panther"]nekem
[ I] 2.5.7 (0) OVERLAY
Egyébként egy SuSE 8.2-ből származó konfig fájlt használok.

Ugye ezek csak 1x vannak beállítva nálad?

Jó ez mindenféle proxyhoz :)

Igen, csak 1x van beállítva. De az az érdekes, hogy ugyanazzal a ./configure paraméterekkel beállított másik proxyn, amiben csak a transparent működéshez szükséges paraméter van megadva, azon működik. A verziószám is ugyanaz. Érdekes. Fordítsam újra talán?
Így fordítottam:
./configure --enable-dlmalloc --enable-gnuregex --enable-async-io --enable-storeio="diskd ufs coss" --enable-removal-policies="heap lru" --enable-icmp --enable-delay-pools --enable-useragent-log --enable-referer-log --enable-kill-parent-hack --enable-snmp --enable-cache-digests --enable-default-err-language=Hungarian --enable-err-languages="Hungarian"

Laci

( Panther v | 2005. 01. 29., szo – 00:01 )

Nem tudom, ilyennel nem találkoztam. Szerintem ha újrafordítod, nem lesz jobb. bár... csodák márpedig vannak.

( lacika v | 2005. 01. 29., szo – 00:07 )

[quote:753ae635b8="Panther"]Nem tudom, ilyennel nem találkoztam. Szerintem ha újrafordítod, nem lesz jobb. bár... csodák márpedig vannak.

Most forgatom újra :) Ki tudja ....
Ja, ennek a configure opciónak lehet köze hozzá:

--enable-x-accelerator-vary

Laci

( lacika v | 2005. 01. 29., szo – 00:13 )

[quote:88f697b780="Panther"]Nem tudom, ilyennel nem találkoztam. Szerintem ha újrafordítod, nem lesz jobb. bár... csodák márpedig vannak.

Ismét bebizonyosodott, hogy vannak csodák :))
Újrafordítottam úgy hogy hozzávettem a squid-cacje.org -ról letölthető security patcheket és ezután már nem reklamált az általad említett header_access -ekre :)
Köszönöm a segítséget!!!

Laci

( lacika v | 2005. 01. 29., szo – 00:15 )

És így meg is oldódott az eredeti probléma. Most már nem időzik el a kis látogatottságszámláló lapoknál :)

Laci

( lacika v | 2005. 01. 29., szo – 00:21 )

Még 1 kérdés:
szerintetek mekkora az a cache méret, aminél nagyobbat nem érdemes beállítani úgy, hogy az a teljesítmény (válaszidő) rovására menjen?
Jelenleg 8 GB van beállítva és dikd metódussal kezelve. A coss kezelési módszerrel kapcsolatban vannak tapasztalatok? Jobb lehet a diskd -nél?

Laci

( Panther v | 2005. 01. 29., szo – 09:38 )

ez függ a vinyótól: UDMA-100 vagy 133 esetén már valszeg túl nagy gondot nem okoz. Viszont a squid memóriazabáló progi, van, amit a memóban tárol (a gyorsabb elérés miatt). Tehát sok-sok memóriát tegyél alá, ha ekkora a gyorsítótár.