Разница в трафике. Откуда?
-
Не знаю, можно ли это считать флудом, но лог файрвола выглядит примерно так:
Mar 6 22:09:27 WAN 10.50.67.38:137 10.50.79.255:137 UDP Mar 6 22:09:27 WAN 10.50.73.19:138 10.50.79.255:138 UDP Mar 6 22:09:27 WAN 10.50.227.228:137 10.50.239.255:137 UDP Mar 6 22:09:27 WAN 10.51.33.186:137 10.51.47.255:137 UDP Mar 6 22:09:27 LAN 192.168.1.90:137 192.168.1.255:137 UDP Mar 6 22:09:27 WAN 10.20.65.45:138 10.20.79.255:138 UDP Mar 6 22:09:27 WAN 10.51.18.187:137 10.51.31.255:137 UDP Mar 6 22:09:28 WAN 10.50.76.74:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.50.64.106:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.51.49.244:137 10.51.63.255:137 UDP Mar 6 22:09:28 WAN 10.51.35.109:137 10.51.47.255:137 UDP Mar 6 22:09:28 WAN 10.50.228.76:137 10.50.239.255:137 UDP Mar 6 22:09:28 WAN 10.51.18.187:137 10.51.31.255:137 UDP Mar 6 22:09:28 WAN 10.20.224.140:137 10.20.239.255:137 UDP Mar 6 22:09:28 WAN 10.51.49.5:138 10.51.63.255:138 UDP Mar 6 22:09:28 WAN 10.50.72.221:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.51.49.22:137 10.51.63.255:137 UDP Mar 6 22:09:28 WAN 10.50.192.249:137 10.50.207.255:137 UDP Mar 6 22:09:28 WAN 10.50.64.166:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.21.33.38:137 10.21.47.255:137 UDP Mar 6 22:09:28 WAN 10.51.34.106:137 10.51.47.255:137 UDP Mar 6 22:09:28 WAN 10.20.224.97:137 10.20.239.255:137 UDP Mar 6 22:09:28 WAN 10.50.75.139:138 10.50.79.255:138 UDP Mar 6 22:09:28 WAN 10.50.75.139:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.21.33.38:137 10.21.47.255:137 UDP Mar 6 22:09:28 WAN 10.50.229.84:137 10.50.239.255:137 UDP Mar 6 22:09:28 WAN 10.50.241.236:137 10.50.255.255:137 UDP Mar 6 22:09:28 WAN 10.50.64.166:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.50.71.25:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.51.36.107:137 10.51.47.255:137 UDP Mar 6 22:09:28 WAN 10.51.33.142:137 10.51.47.255:137 UDP Mar 6 22:09:28 WAN 10.51.80.99:137 10.51.95.255:137 UDP Mar 6 22:09:28 WAN 10.50.67.248:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.50.67.38:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.50.67.248:137 10.50.79.255:137 UDP Mar 6 22:09:28 LAN 192.168.1.90:137 192.168.1.255:137 UDP Mar 6 22:09:28 WAN 10.51.34.244:137 10.51.47.255:137 UDP Mar 6 22:09:28 WAN 10.50.76.74:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.21.48.39:137 10.21.63.255:137 UDP Mar 6 22:09:28 WAN 10.50.64.106:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.50.69.77:138 10.50.79.255:138 UDP Mar 6 22:09:28 WAN 10.50.69.77:137 10.50.79.255:137 UDP Mar 6 22:09:28 WAN 10.51.35.109:137 10.51.47.255:137 UDP Mar 6 22:09:28 WAN 10.51.49.244:137 10.51.63.255:137 UDP Mar 6 22:09:28 WAN 10.50.228.76:137 10.50.239.255:137 UDP Mar 6 22:09:28 WAN 10.20.224.140:137 10.20.239.255:137 UDP Mar 6 22:09:28 WAN 10.51.18.187:137 10.51.31.255:137 UDP Mar 6 22:09:28 WAN 10.50.241.30:138 10.50.255.255:138 UDP Mar 6 22:09:28 WAN 10.20.65.45:138 10.20.79.255:138 UDP Mar 6 22:09:28 WAN 10.50.72.221:137 10.50.79.255:137 UDPЭто то, что отбито.
-
А что на WAN делают запросы из приватной сети? Думаю неправильно настроены правила, и кое кто эти пользуется
http://forum.windowsfaq.ru/archive/index.php/t-28355.html -
dvserg
Не совсем понял вопрос. Я не в курсе, что такое "серая сеть" :) -
dvserg
Не совсем понял вопрос. Я не в курсе, что такое "серая сеть" :)Приватная сеть (серая) это адреса локальной сети вида 10.х.х.х 192.168.х.х 172…
Запросы из этой зоны на WAN подозрительны и не должны иметь место. -
dvserg
10.х.х.х - это локальная сеть провайдера. Такие же юзеры как и я. Всем юзерам дается IP вида 10.х.х.х А вот что запросы делают на WAN не знаю, я в сетях совсем не шарю. Это нужно провайдера напрягать, чтобы разобрались?И вопрос по ntop: добавил, но в Diagnostics->ntop не зайти. Почему-то комп ломится на 192.168.1.1:3000 и все заканчивается "The connection to the server was reset while the page was loading"
-
Ну на пальцах ничего не объяснить не зная вашей схемы. На Wan нужно запретить входящие из подсети прова, а у вас скорее всего стоит разрешить все.
-
http://support.microsoft.com/kb/150543/ru
в логах фаерволла видны широковещательные запросы из сетей, по назначению являющихся локальными. Скорее всего это домашние юзвери и недоадмины, воткнувшие комп(ы) с виндой в одну сеть с провайдером. При желании можно утащить чужие файлы и вообще все что можно сделать в локалке.
Советую купить у провайдера 1 выделенный ип. Обычно это стоит 10-100р. А нормальные провайдеры выдают их бесплатно при подключении.
В таких условиях нужно максимально огородится. Разрешить только нужные для работы порты. -
Понятно. А какое правило все это сделает (запретит все запросы из локалки провайдера)? Попробовал на WAN добавить:
Action: Block
Proto: *
Source: 10.0.0.0/8
Port: *
Destination: *
Gateway: *
Но в логах файрвола ничего не изменилось. Мне нужно порезать все 10...* Как это сделать? -
Нужно не запрещать, а разрешать. Т.е удалить все разрешающие правила типа tcp\udp any to any.
Разрешить
На LAN:
LAN * LAN * (вместо LAN * WAN *)
LAN * WAN 80
Это разрешит любой трафик в локальной сети и исходящие на 80 (http)
Если нужен https, аналогично открываем 443 итд
На WAN нужно оставить стандартные запреты (private, bogons). Соответствующая галочка есть в Interfaces - WAN. -
deutsche
У меня примерно так и сделано. Только кроме 80 порта разрешены: 21, 53, 443, 465, 995, 5190
Этого: LAN * LAN * не было.
На WAN стандартные запреты…
Могу скрины скинуть. -
в Diagnostics->ntop не зайти. Почему-то комп ломится на 192.168.1.1:3000 и все заканчивается "The connection to the server was reset while the page was loading"
ntop не запущен наверно. Проверь в services. Очень падучий этот ntop.
Давай скрины -
Вот:
http://img6.imageshack.us/img6/1131/lant.png
http://img6.imageshack.us/img6/8162/wan.png
http://img163.imageshack.us/img163/6123/natc.pngА как запускать ntop? Какой-то командой?
-
Для Торрентов нормальное распределение трафика. Еще учти, что, если у тебя прошло более 4ГБ через интерфейс, то статистика сбрасывается. Для ведение более менее нормальной статистки нужен vnstat. RRD - Traffic тоже даст некое представление.
вместо кучи правил лучше юзать alias'ы.
2 правило лишнее
6969 зачем нужен?
На WAN сурц для торрентов может быть любой ( приватная сеть уже блокирована первыми двумя правилами)Вот моя статистика:
LAN
In/out packets 136125836/124464853 (1.41 GB/1.14 GB)
WAN
In/out packets 123675559/135704241 (83.71 MB/664.52 MB)
При этом в RRD
 -
6969 нужен для коннекта к некоторым трекерам.
Но я же никому ничего не отдал, только качал. Почему нормальное распределение? У меня торрент-клиент только по необходимости запущен. Сейчас он не загружен, но на WAN все равно трафик набегает.
Остальное подправил. -
Торренты могут раздаться даже при 1ом скачанном кусочке файла. Отчего трафик набегает лучше смотреть в tcpdump'e или ntop. Видимо флуд из локалки блокируется, но все равно учитывается.
-
Смотрю инфу в Status: Interfaces, там написано:
WAN interface (fxp0)
In/out packets 9698506/737867 (2.96 GB/52.01 MB)
LAN interface (re0)
In/out packets 741848/1103637 (56.05 MB/1.39 GB)
LAN interface - один, WAN interface тоже один… Почему такое расхождение цифр у LAN и WAN ? ???LAN out 1.39 GB - это чорная молния в переводе гоблина скачанная с торрента
WAN in 2.96- 1.39 = 1.70 GB флуда?
50 мегабайт исходящих это то что ты раздал. Одмины трекера тебя забанят за такое. -
Вот что творится на WAN:
http://img710.imageshack.us/img710/4201/graphd.png
При этом на LAN что-то около 0. Я так понимаю, скорость инета задушена на 300-400Kbps?Торренты могут раздаться даже при 1ом скачанном кусочке файла.
Могут, но для этого должен быть запущен торрент-клиент хотя бы…
tcpdump не нашел в списке. ntop - не понятно как запустить.
-
Зайди в консоль pfsense. Запусти pftop, переключи режим сортировки (order) клавишей o в rate. Увидишь самые активные соединения.
-
Смотрю инфу в Status: Interfaces, там написано:
WAN interface (fxp0)
In/out packets 9698506/737867 (2.96 GB/52.01 MB)
LAN interface (re0)
In/out packets 741848/1103637 (56.05 MB/1.39 GB)Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на WAN около 8 Г мусора. -
Еще график:
http://img191.imageshack.us/img191/518/graph1c.pngЗапусти pftop
Сейчас попробую.