Server sendet standig 1,2 MiB/s

  • Ciao

    Mein Raspi Server sendet ständig 1,1 - 1,3 Mb/s, obwohl niemand, ausser mein WinPC auf dem Rechner ist.

    Linux pi4 5.15.76-v8+ #1597 SMP PREEMPT Fri Nov 4 12:16:41 GMT 2022 aarch64 GNU/Linux


    Ich betreibe einen rpi4/4 mit 2 wordpress sites und die ports 80 & 443 sind nach aussen offen.

    Außerdem eine Nextcloud Installation, mit ssl abgesichert, sowie OpenVPN. Das läuft super seit > 1,5 Jahren.


    Nun fällt mir auf, dass die Maschine ständig um die 1,2 MiB/s sendet, obwohl niemand ausser mein PC via Nextcloud damit kommuniziert. In den apache2 logs finde ich zwar viele Versuche sich bei meinen websites einzulogen und andere Aufrufe, aber nichts was darauf hindeutet, dass irgend eine Anfrage Daten absaugt.

    Nach einem reboot sendet er normal im unteren KiB/s Bereich und dann sofort wieder 1,2 MiB/s.

    Auch wenn ich kurz den apache2 stoppe, sendet pi4 weiter.


    Nun weiss ich nicht ob das normal ist oder ich mir Sorgen machen muss.


    Wäre froh um etwas Assistance &/| Help


    Gruß&Dank

    Vantino


    PS: ich betreibe einen pi3 als fhemserver, der nicht nach draussen geöffnet ist, auch der sendet ständig 800 MiB/s.

    Jedoch mein Ubuntu Notebook, was im gleichem Netz hängt, sendet nichts, Und genau das macht mich stutzig!


    Beiiegend mein netstat -pl Protokoll und der Screen Shot der CPU/Netwerk Chronik, die zeigt was mit komisch vorkommt.

  • Nun fällt mir auf, dass die Maschine ständig um die 1,2 MiB/s sendet, obwohl niemand ausser mein PC via Nextcloud damit kommuniziert.

    Ist Teledata evtl. dein ISP? Wenn ja, welchen Router (border device) hast bzw. welche Dienste beziehst Du evtl. noch von diesem ISP?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Danke für die Antwort.


    ja teledata ist ISP aber ich beziehe keine weiteren services oder andere app's.

    Wie gesagt ich hoste 2 WP sites und meine Nextcloud und in beiden Instanzen kann ich sehen, dass hier nur ich als user dran hänge.


    jnettop zeigt auch nichts auffälliges.


    It's a bit wired.

    pi3(deCONZ) Fhem Server) - pi4(M2 usbboot) Cloud, VPN & Wordpress Server

  • Auch wenn ich kurz den apache2 stoppe, sendet pi4 weiter.

    Dann versuch mal auf dem PI, temporär und manuell mit:

    Code
    sudo iptables -I OUTPUT 1 -o eth0 -p tcp -m multiport --sports 80,443 -j REJECT

    und nach 5 Minuten den counter dieser Regel anschauen mit:

    Code
    sudo iptables -nvx -L OUTPUT

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • sendet nun wesentlich weniger, aber natürlich gehen nun meine websites nicht mehr und alles was über 80/443 läuft.

    War der apache2 in dem Zeitraum in dem die iptables-Regel wirksam war, gestoppt?

    Teste mal auch mit gestopptem apache2, aber ohne iptables-Regel und dafür mit tcpdump:

    Code
    sudo tcpdump -c 500 -vvveni eth0 src host <IPv4-Adresse-PI4> and 'src port 80 or src port 443'

    (IPv4-Adresse-PI4 anpassen und ohne spitze Klammern).

    tcpdump erst nach dem stoppen des apache2, starten.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Hier der tcpdump mit apache2 stopped


    DIe 185.162.220.165 bin ich selbst, ist miene dyn ip

    die 81.27.114.16 ist mein IPS Teledata

    die 192.168.2.125 ist pi4 an meinem router


    i@pi4(18k):~ $ sudo tcpdump -c 500 -vvveni eth0 src host 192.168.2.125 and 'src port 80 or src port 443' > /aveon/tcpdump.txt

    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

    500 packets captured

    503 packets received by filter

    0 packets dropped by kernel

  • Sehe ich das richtig, das die IP 149.154.167.220 immer packete empfängt?


    Diese IP gehört zum Telegram Netz, hatte hier eine Testinstallation für mein fhem laufen.

    Dies nun lahmgelegt und nochmal einen tcpdump in dem nun diese IP nicht mehr vorkommt.


    pi4 sendet aber weiter.


    und im tcpdump finde ich keine fremde IP. wenn ich dem glaube werden nur daten zwischen meinen IPS und mir ausgetauscht, aber wozu?

  • DIe 185.162.220.165 bin ich selbst, ist miene dyn ip

    die 81.27.114.16 ist mein IPS Teledata

    die 192.168.2.125 ist pi4 an meinem router

    In der Ausgabe von tcpdump sieht man, dass von 192.168.2.125:443 an 185.162.220.165 (dein Router???):57xxx immer ein reset+ack-Paket (4x in der Sekunde) gesendet wird und das den ausgehenden Traffic verursacht. Die Frage ist was will dein Router auf tcp-Port 443 von deinem PI4? Welchen Router hast Du bzw. ist das dein privater Router (border device)?

    Code
    15:49:36.351482 dc:a6:32:0a:a2:5f > 2c:3a:fd:89:eb:ec, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 40)
        192.168.2.125.443 > 81.27.114.16.26406: Flags [R.], cksum 0x5ad4 (correct), seq 0, ack 395136573, win 0, length 0
    15:49:36.862450 dc:a6:32:0a:a2:5f > 2c:3a:fd:89:eb:ec, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 40)


    Du könntest diesen output-Traffic jetzt mit iptables blocken, aber das löst nicht das Problem mit den Anfragen:

    Code
    sudo iptables -I OUTPUT 1 -o eth0 --sport 443 -p tcp --tcp-flags RST RST -j REJECT

    und danach testen/schauen mit tcpdump (mit optimiertem Filter) und im counter dieser iptables-Regel.


    EDIT:


    Habe gerade gesehen, dass die Anfragen zum Port 443 deines PI4s auch von anderen externen IPs kommen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • FritzBox 7590


    mit geöffneten Ports 80 und 443

    pi3(deCONZ) Fhem Server) - pi4(M2 usbboot) Cloud, VPN & Wordpress Server

    Edited once, last by vantino ().

  • dann sind wir etwas weiter.


    zunächst herzlichen Dank für die Hilfe.


    Was mich aber unverständlich zurück lässt:


    Mein Ubuntu Notebook zeigt das alles nicht und hängt auch an der Fritz 7590, allerdings via WLAN

    pi3(deCONZ) Fhem Server) - pi4(M2 usbboot) Cloud, VPN & Wordpress Server

  • Mein Ubuntu Notebook zeigt das alles nicht und hängt auch an der Fritz 7590, allerdings via WLAN

    Naja, den Port 443 hast Du ja in deiner FB, auf den PI und nicht auf das NB, weitergeleitet.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ist die Suche über die Ports sinnvoll?

    Wenn ich den Apache2 stoppe wird weiter gesendet. Dann sollte doch keiner mehr auf 443 horchen ..


    Oder gibt es noch andere http server auf der Kiste, die ich nicht kenne?
    Habe ich geprüft, aber nichts gefunden.

    pi3(deCONZ) Fhem Server) - pi4(M2 usbboot) Cloud, VPN & Wordpress Server

  • Naja, den Port 443 hast Du ja in deiner FB, auf den PI und nicht auf das NB, weitergeleitet.

    Aber mein pi3, auf dem mein fhem läuft ist nicht offen nach draussen und wird auch nicht gefunden, auch hier sehe ich den gleichen Effekt, allerdings nur bis zu 800 MiB/s und da läuft kein apache2

    pi3(deCONZ) Fhem Server) - pi4(M2 usbboot) Cloud, VPN & Wordpress Server

  • Wenn ich den Apache2 stoppe wird weiter gesendet. Dann sollte doch keiner mehr auf 443 horchen ..

    Es wird nicht gelauscht und nicht gesendet, sondern nur "geantwortet".

    Von außen kommt eine Anfrage an bzw. für den _nicht_ lauschenden Port 443 und dein PI (Linux) ist so freundlich und antwortet mit einem reset+ack (und verursacht somit ausgehenden Traffic).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden