Разница в трафике. Откуда?
-
Ну на пальцах ничего не объяснить не зная вашей схемы. На Wan нужно запретить входящие из подсети прова, а у вас скорее всего стоит разрешить все.
-
http://support.microsoft.com/kb/150543/ru
в логах фаерволла видны широковещательные запросы из сетей, по назначению являющихся локальными. Скорее всего это домашние юзвери и недоадмины, воткнувшие комп(ы) с виндой в одну сеть с провайдером. При желании можно утащить чужие файлы и вообще все что можно сделать в локалке.
Советую купить у провайдера 1 выделенный ип. Обычно это стоит 10-100р. А нормальные провайдеры выдают их бесплатно при подключении.
В таких условиях нужно максимально огородится. Разрешить только нужные для работы порты. -
Понятно. А какое правило все это сделает (запретит все запросы из локалки провайдера)? Попробовал на WAN добавить:
Action: Block
Proto: *
Source: 10.0.0.0/8
Port: *
Destination: *
Gateway: *
Но в логах файрвола ничего не изменилось. Мне нужно порезать все 10...* Как это сделать? -
Нужно не запрещать, а разрешать. Т.е удалить все разрешающие правила типа tcp\udp any to any.
Разрешить
На LAN:
LAN * LAN * (вместо LAN * WAN *)
LAN * WAN 80
Это разрешит любой трафик в локальной сети и исходящие на 80 (http)
Если нужен https, аналогично открываем 443 итд
На WAN нужно оставить стандартные запреты (private, bogons). Соответствующая галочка есть в Interfaces - WAN. -
deutsche
У меня примерно так и сделано. Только кроме 80 порта разрешены: 21, 53, 443, 465, 995, 5190
Этого: LAN * LAN * не было.
На WAN стандартные запреты…
Могу скрины скинуть. -
в Diagnostics->ntop не зайти. Почему-то комп ломится на 192.168.1.1:3000 и все заканчивается "The connection to the server was reset while the page was loading"
ntop не запущен наверно. Проверь в services. Очень падучий этот ntop.
Давай скрины -
Вот:
http://img6.imageshack.us/img6/1131/lant.png
http://img6.imageshack.us/img6/8162/wan.png
http://img163.imageshack.us/img163/6123/natc.pngА как запускать ntop? Какой-то командой?
-
Для Торрентов нормальное распределение трафика. Еще учти, что, если у тебя прошло более 4ГБ через интерфейс, то статистика сбрасывается. Для ведение более менее нормальной статистки нужен vnstat. RRD - Traffic тоже даст некое представление.
вместо кучи правил лучше юзать alias'ы.
2 правило лишнее
6969 зачем нужен?
На WAN сурц для торрентов может быть любой ( приватная сеть уже блокирована первыми двумя правилами)Вот моя статистика:
LAN
In/out packets 136125836/124464853 (1.41 GB/1.14 GB)
WAN
In/out packets 123675559/135704241 (83.71 MB/664.52 MB)
При этом в RRD
 -
6969 нужен для коннекта к некоторым трекерам.
Но я же никому ничего не отдал, только качал. Почему нормальное распределение? У меня торрент-клиент только по необходимости запущен. Сейчас он не загружен, но на WAN все равно трафик набегает.
Остальное подправил. -
Торренты могут раздаться даже при 1ом скачанном кусочке файла. Отчего трафик набегает лучше смотреть в tcpdump'e или ntop. Видимо флуд из локалки блокируется, но все равно учитывается.
-
Смотрю инфу в Status: Interfaces, там написано:
WAN interface (fxp0)
In/out packets 9698506/737867 (2.96 GB/52.01 MB)
LAN interface (re0)
In/out packets 741848/1103637 (56.05 MB/1.39 GB)
LAN interface - один, WAN interface тоже один… Почему такое расхождение цифр у LAN и WAN ? ???LAN out 1.39 GB - это чорная молния в переводе гоблина скачанная с торрента
WAN in 2.96- 1.39 = 1.70 GB флуда?
50 мегабайт исходящих это то что ты раздал. Одмины трекера тебя забанят за такое. -
Вот что творится на WAN:
http://img710.imageshack.us/img710/4201/graphd.png
При этом на LAN что-то около 0. Я так понимаю, скорость инета задушена на 300-400Kbps?Торренты могут раздаться даже при 1ом скачанном кусочке файла.
Могут, но для этого должен быть запущен торрент-клиент хотя бы…
tcpdump не нашел в списке. ntop - не понятно как запустить.
-
Зайди в консоль pfsense. Запусти pftop, переключи режим сортировки (order) клавишей o в rate. Увидишь самые активные соединения.
-
Смотрю инфу в Status: Interfaces, там написано:
WAN interface (fxp0)
In/out packets 9698506/737867 (2.96 GB/52.01 MB)
LAN interface (re0)
In/out packets 741848/1103637 (56.05 MB/1.39 GB)Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на WAN около 8 Г мусора. -
Еще график:
http://img191.imageshack.us/img191/518/graph1c.pngЗапусти pftop
Сейчас попробую.
-
Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на WAN около 8 Г мусора.Чото никогда не обращал внимания на цифры до скобок. Разве это не сырые данные о кол-ве пакетов. (In out Packets)
-
Сделал:
http://img535.imageshack.us/img535/3970/img3686.jpg
И что это значит? Там все время разные IP были.
Извиняюсь за качество. ::) -
Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на WAN около 8 Г мусора.Чото никогда не обращал внимания на цифры до скобок. Разве это не сырые данные о кол-ве пакетов. (In out Packets)
Да, то есть пакеты, просто разница в 8 тыщ. пакетов и сравнить твои выкладки в гигах - похоже на флуд пустыми пакетами. Возможно вирусня из сетки прова шалит.
-
Не так давно перезапускал pfSense (uptime 02:31), после перезапуска ничего не качал:
WAN interface (fxp0)
In/out packets 1022959/20282 (362.95 MB/6.82 MB)
LAN interface (re0)
In/out packets 26212/27128 (7.80 MB/19.21 MB) -
Сделал:
http://img535.imageshack.us/img535/3970/img3686.jpg
И что это значит? Там все время разные IP были.
Извиняюсь за качество. ::)То что на скрине, эт только соединения с одминского компа на веб интерфейс и в гугл. Это хорошо!!!
теперь управляя стрелками вправо влево можно перевести вид (view) в size и увидим самые быстрые соединения с самым большим обьемом переданного.
Если это флуд, возможно стоит сменить правила с block на reject и слать весь их флуд назад!!!
Кстати НАТить торрент (если расчет на внешних пиров) здесь бесполезное дело - провайдеру пофиг на твои наты, ты все равно за провайдерским натом не сможешь принять входящее из внешних сетей.
Можно посоветовать только сменить провайдера и\или купить IP.Чувак, открой для себя ssh и putty :)