mtalk.google.com flood Squid logs

Attention aux nouvelles applications Google Chrome pour vos proxy Squid. En effet vous risquez l’avoir des millions de lignes dans vos logs Squid… Cela risque de saturer votre partition de logs en très peu de temps…

Et comment Squid réagit quand il n’y a plus de place sur sa partition de logs ? Il ne traite plus des nouvelles connexions… Et donc plus de surf….

Origine

Après quelques recherches, il s’agit d’une nouvelle application de Google Talk pour Chrome. Et donc n’importe quel utilisateur Windows avec les droits les plus basiques peut ajouter ce plugin…

Ce plugin se connecte sur mtalk.google.com sur les ports 443 et 5228. Mais au lieu que l’application teste de temps en temps de se connecter au serveur quand l’accès lui est refusé, elle fait des dizaines de requêtes à la seconde!

De la, un seul utilisateur qui laisse sa session en pause avec Chrome d’ouvert et c’est des Go de logs Squid de générés… L’application est mal conçue de ce côté là…

Voici la source pour ceux qui veulent quelques infos : Chromium Blog: Simplifying Cloud Messaging for app developers.

Résolution du problème

Deux choix s’offraient à moi :

  • Configurer le fail2ban pour analyser les logs Squid : afin de blacklister temporairement la machine posant problème pour éviter de saturer les logs. Mais cela risque de bloquer très souvent les personnes qui ne comprendront pas pourquoi ils sont bloqués… Voici une piste si besoin.
  • Configurer Squid pour éviter de logger ces accès. Dans ce cas, on fait une exception de log pour mtalk.google.com

J’ai choisi la 2e solution pour ne pas bloquer les utilisateurs mécontents.

Selon votre version de Squid, vous avez plusieurs solutions. Dans mon cas je suis sous Debian Wheezy avec Squid v2.7. Je vais donc faire une seule ACL sur le nom de domaine.

On va mettre le domaine mtalk.google.com dans le fichier /etc/squid/never_log_list.txt. Et on applique la règle de log_access.

Attention à bien préciser le format de log « squid » à la dernière ligne et pas « common » si vous voulez garder le même format de logs.

Si vous êtes en Squid version 3.2+ alors vous pouvez combiner les ACL pour être plus précis et faire une exception de log uniquement pour les access denied à mtalk.google.com. Comme ça les accès accordés sont loggés. Je vous conseille ce lien et celui-ci si cela vous intéresse.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">