Разница в трафике. Откуда?

deutsche

Смотри логи ферволла, поставь ntop, анализируй его графики. Возможно какойто жесткий флуд в твоей сети.

egoist

Не знаю, можно ли это считать флудом, но лог файрвола выглядит примерно так:


	Mar 6 22:09:27 	WAN 	10.50.67.38:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:27 	WAN 	10.50.73.19:138 	10.50.79.255:138 	UDP
	Mar 6 22:09:27 	WAN 	10.50.227.228:137 	10.50.239.255:137 	UDP
	Mar 6 22:09:27 	WAN 	10.51.33.186:137 	10.51.47.255:137 	UDP
	Mar 6 22:09:27 	LAN 	192.168.1.90:137 	192.168.1.255:137 	UDP
	Mar 6 22:09:27 	WAN 	10.20.65.45:138 	10.20.79.255:138 	UDP
	Mar 6 22:09:27 	WAN 	10.51.18.187:137 	10.51.31.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.76.74:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.64.106:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.49.244:137 	10.51.63.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.35.109:137 	10.51.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.228.76:137 	10.50.239.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.18.187:137 	10.51.31.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.20.224.140:137 	10.20.239.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.49.5:138 	10.51.63.255:138 	UDP
	Mar 6 22:09:28 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.49.22:137 	10.51.63.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.192.249:137 	10.50.207.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.64.166:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.21.33.38:137 	10.21.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.34.106:137 	10.51.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.20.224.97:137 	10.20.239.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.75.139:138 	10.50.79.255:138 	UDP
	Mar 6 22:09:28 	WAN 	10.50.75.139:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.21.33.38:137 	10.21.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.229.84:137 	10.50.239.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.241.236:137 	10.50.255.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.64.166:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.71.25:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.36.107:137 	10.51.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.33.142:137 	10.51.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.80.99:137 	10.51.95.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.67.248:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.67.38:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.67.248:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	LAN 	192.168.1.90:137 	192.168.1.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.34.244:137 	10.51.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.76.74:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.21.48.39:137 	10.21.63.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.64.106:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.69.77:138 	10.50.79.255:138 	UDP
	Mar 6 22:09:28 	WAN 	10.50.69.77:137 	10.50.79.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.35.109:137 	10.51.47.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.49.244:137 	10.51.63.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.228.76:137 	10.50.239.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.20.224.140:137 	10.20.239.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.51.18.187:137 	10.51.31.255:137 	UDP
	Mar 6 22:09:28 	WAN 	10.50.241.30:138 	10.50.255.255:138 	UDP
	Mar 6 22:09:28 	WAN 	10.20.65.45:138 	10.20.79.255:138 	UDP
	Mar 6 22:09:28 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP

Это то, что отбито.

dvserg

А что на WAN делают запросы из приватной сети? Думаю неправильно настроены правила, и кое кто эти пользуется
http://forum.windowsfaq.ru/archive/index.php/t-28355.html

egoist

dvserg
Не совсем понял вопрос. Я не в курсе, что такое "серая сеть" :)

dvserg

@egoist:

dvserg
Не совсем понял вопрос. Я не в курсе, что такое "серая сеть" :)

Приватная сеть (серая) это адреса локальной сети вида 10.х.х.х 192.168.х.х 172…
Запросы из этой зоны на WAN подозрительны и не должны иметь место.

egoist

dvserg
10.х.х.х - это локальная сеть провайдера. Такие же юзеры как и я. Всем юзерам дается IP вида 10.х.х.х А вот что запросы делают на WAN не знаю, я в сетях совсем не шарю. Это нужно провайдера напрягать, чтобы разобрались?

И вопрос по ntop: добавил, но в Diagnostics->ntop не зайти. Почему-то комп ломится на 192.168.1.1:3000 и все заканчивается "The connection to the server was reset while the page was loading"

dvserg

Ну на пальцах ничего не объяснить не зная вашей схемы. На Wan нужно запретить входящие из подсети прова, а у вас скорее всего стоит разрешить все.

deutsche

http://support.microsoft.com/kb/150543/ru
в логах фаерволла видны широковещательные запросы из сетей, по назначению являющихся локальными. Скорее всего это домашние юзвери и недоадмины, воткнувшие комп(ы) с виндой в одну сеть с провайдером. При желании можно утащить чужие файлы и вообще все что можно сделать в локалке.
Советую купить у провайдера 1 выделенный ип. Обычно это стоит 10-100р. А нормальные провайдеры выдают их бесплатно при подключении.
В таких условиях нужно максимально огородится. Разрешить только нужные для работы порты.

egoist

Понятно. А какое правило все это сделает (запретит все запросы из локалки провайдера)? Попробовал на WAN добавить:
Action: Block
Proto: *
Source: 10.0.0.0/8
Port: *
Destination: *
Gateway: *
Но в логах файрвола ничего не изменилось. Мне нужно порезать все 10...* Как это сделать?

deutsche

Нужно не запрещать, а разрешать. Т.е удалить все разрешающие правила типа tcp\udp any to any.
Разрешить
На LAN:
LAN * LAN * (вместо LAN * WAN *)
LAN * WAN 80
Это разрешит любой трафик в локальной сети и исходящие на 80 (http)
Если нужен https, аналогично открываем 443 итд
На WAN нужно оставить стандартные запреты (private, bogons). Соответствующая галочка есть в Interfaces - WAN.

egoist

deutsche
У меня примерно так и сделано. Только кроме 80 порта разрешены: 21, 53, 443, 465, 995, 5190
Этого: LAN * LAN * не было.
На WAN стандартные запреты…
Могу скрины скинуть.

deutsche

@egoist:

в Diagnostics->ntop не зайти. Почему-то комп ломится на 192.168.1.1:3000 и все заканчивается "The connection to the server was reset while the page was loading"

ntop не запущен наверно. Проверь в services. Очень падучий этот ntop.
Давай скрины

egoist

Вот:
http://img6.imageshack.us/img6/1131/lant.png
http://img6.imageshack.us/img6/8162/wan.png
http://img163.imageshack.us/img163/6123/natc.png

А как запускать ntop? Какой-то командой?

deutsche

Для Торрентов нормальное распределение трафика. Еще учти, что, если у тебя прошло более 4ГБ через интерфейс, то статистика сбрасывается. Для ведение более менее нормальной статистки нужен vnstat. RRD - Traffic тоже даст некое представление.
вместо кучи правил лучше юзать alias'ы.
2 правило лишнее
6969 зачем нужен?
На WAN сурц для торрентов может быть любой ( приватная сеть уже блокирована первыми двумя правилами)

Вот моя статистика:
LAN
In/out packets 136125836/124464853 (1.41 GB/1.14 GB)
WAN
In/out packets 123675559/135704241 (83.71 MB/664.52 MB)
При этом в RRD

![??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png](/public/imported_attachments/1/??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png)
![??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png_thumb](/public/imported_attachments/1/??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png_thumb)

egoist

6969 нужен для коннекта к некоторым трекерам.
Но я же никому ничего не отдал, только качал. Почему нормальное распределение? У меня торрент-клиент только по необходимости запущен. Сейчас он не загружен, но на WAN все равно трафик набегает.
Остальное подправил.

deutsche

Торренты могут раздаться даже при 1ом скачанном кусочке файла. Отчего трафик набегает лучше смотреть в tcpdump'e или ntop. Видимо флуд из локалки блокируется, но все равно учитывается.

deutsche

@egoist:

Смотрю инфу в Status: Interfaces, там написано:
WAN interface (fxp0)
In/out packets 9698506/737867 (2.96 GB/52.01 MB)
LAN interface (re0)
In/out packets 741848/1103637 (56.05 MB/1.39 GB)
LAN interface - один, WAN interface тоже один… Почему такое расхождение цифр у LAN и WAN ? ???

LAN out 1.39 GB - это чорная молния в переводе гоблина скачанная с торрента
WAN in 2.96- 1.39 = 1.70 GB флуда?
50 мегабайт исходящих это то что ты раздал. Одмины трекера тебя забанят за такое.

egoist

Вот что творится на WAN:
http://img710.imageshack.us/img710/4201/graphd.png
При этом на LAN что-то около 0. Я так понимаю, скорость инета задушена на 300-400Kbps?

Торренты могут раздаться даже при 1ом скачанном кусочке файла.

Могут, но для этого должен быть запущен торрент-клиент хотя бы…

tcpdump не нашел в списке. ntop - не понятно как запустить.

deutsche

Зайди в консоль pfsense. Запусти pftop, переключи режим сортировки (order) клавишей o в rate. Увидишь самые активные соединения.

dvserg

Смотрю инфу в Status: Interfaces, там написано:
WAN interface (fxp0)
In/out packets 9698506/737867 (2.96 GB/52.01 MB)
LAN interface (re0)
In/out packets 741848/1103637 (56.05 MB/1.39 GB)

Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на WAN около 8 Г мусора.