Как узнать кто съел трафик
-
Спасибо.
LAN subnet ставил, но что-то не работало. Попробую еще раз.
А по графику я подумал - может это какой то широковещательный запрос был. Провайдер прислал распечатку там примерно 66 байт на каждое соединение. Может поэтому и график зеркальный WAN-LAN
По вашему описанию настроек фаервола попробую сделать, т.к. в целом все понятно пока.
Еще раз спасибо.прислали распечатку соединений от провайдера
100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь. Придется переходить на безлимит. -
100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь …
На внешний WAN ?
Покажите правила на WAN.
Придется переходить на безлимит.
Это не выход из ситуации.
P.s. Какой тип подключения к интернет у вас исп-ся ? Не dual\russian ?
 -
Правила на WAN первой картинке, в начале поста
У меня статичный IP, шлюз, DNS соответсвенно
Сейчас активности нет. Думаю, что провайдер просто раскручивал нас на безлимит и он этого добился. Оказалось, что такое же было где-то пол года назад, но директора думали, что они сами накосячили и оплатили перерасход.
Галочки у меня там нет, так же как на картинке.
А что такое dual\russian? Встречал настройкуТP-Link. -
Я бы этого так не оставлял.
Логи провайдера смотрели ,с каких адресов шло такое дело ? Оч. часто китайцы таким балуются. И это нужно пресечь.
Покажите немного логов пров-ра. -
Часть логов от провайдера. Пустой столбик это наш статический IP.
Хотел прикрепить XLS, но че то меня выбрасывает из форума.
-
А попробуйте-ка на WAN явно создать правило , запрещающее обращение к 53-му порту TCP\UDP. Поставьте его выше всех, включите на нем логирование и посмотрите идет ли обращение нему в логах fw.
-
Да есть какие-то отрезанные пакеты, но атака закончилась еще позавчера
Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer. Эксперементировать пока не могу так как офис и так настрадался за это время и провайдер их запугав суммой переплаты раскрутил на безлимит.
Я прикрепил картинку. Я видимо что-то не правильно делаю . :-[
-
Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer
TЕсли вы оставили прежние настройки на LAN - у вас там работать будет всё , что только возможно.
-
забыл прикрепить правила LAN. Делал по какому то описанию ::)
-
Вот за два дня наблюдается постоянный трафик небольшой
Но заблокированного трафика больше.
Подскажите пожалуйста, как посмотреть логи или статистику . Где это можно проанализировать?
Спасибо большое за помощьНашел в Status: System logs:
Но там только 50 записей
-
Я же вам еще в самом первом сообщение написал :
Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:
http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
https://forum.pfsense.org/index.php/topic,21394.180.html
http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0 -
Спасибо, Werter за помощь. Конечно же я мало в чем разобрался, но когда пришли от провайдера манагеры и подписали задним числом договор на безлимит, директора обрадовались, что им не надо платить 35000 руб. за перерасход. Жесть. Меняем провайдера на того у которого после превышения лимита только скорость падает, а не каждый мегабайт превышения за отдельные деньги.
;) -
Вам нужно закрыть IPv6 , поставив это правило выше всех.
Можете объяснить для чего это нужно и какой вид имеет правило(а) в фаерволе?
-
можно смотреть расход траффика через встроенный пакет bandwidthd
там всё весьма понятненько. Ставится в пару кликов.