Как узнать кто съел трафик

werter

100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь …

На внешний WAN ?

Покажите правила на WAN.

Придется переходить на безлимит.

Это не выход из ситуации.

P.s. Какой тип подключения к интернет у вас исп-ся ? Не dual\russian ?

![System_ Advanced_ Admin Access - Opera.jpg](/public/imported_attachments/1/System_ Advanced_ Admin Access - Opera.jpg)
![System_ Advanced_ Admin Access - Opera.jpg_thumb](/public/imported_attachments/1/System_ Advanced_ Admin Access - Opera.jpg_thumb)

editvol

Правила на WAN первой картинке, в начале поста
У меня статичный IP, шлюз, DNS соответсвенно
Сейчас активности нет. Думаю, что провайдер просто раскручивал нас на безлимит и он этого добился. Оказалось, что такое же было где-то пол года назад, но директора думали, что они сами накосячили и оплатили перерасход.
Галочки у меня там нет, так же как на картинке.
А что такое dual\russian? Встречал настройкуТP-Link.

werter

Я бы этого так не оставлял.

Логи провайдера смотрели ,с каких адресов шло такое дело ? Оч. часто китайцы таким балуются. И это нужно пресечь.
Покажите немного логов пров-ра.

editvol

Часть логов от провайдера. Пустой столбик это наш статический IP.
Хотел прикрепить XLS, но че то меня выбрасывает из форума.

log.jpg_thumb

werter

А попробуйте-ка на WAN явно создать правило , запрещающее обращение к 53-му порту TCP\UDP. Поставьте его выше всех, включите на нем логирование и посмотрите идет ли обращение нему в логах fw.

editvol

Да есть какие-то отрезанные пакеты, но атака закончилась еще позавчера
Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer. Эксперементировать пока не могу так как офис и так настрадался за это время и провайдер их запугав суммой переплаты раскрутил на безлимит.
Я прикрепил картинку. Я видимо что-то не правильно делаю . :-[

Clipboard06.jpg_thumb

Clipboard07.jpg_thumb

werter

Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer

TЕсли вы оставили прежние настройки на LAN - у вас там работать будет всё , что только возможно.

editvol

забыл прикрепить правила LAN. Делал по какому то описанию ::)

Clipboard08.jpg_thumb

editvol

Вот за два дня наблюдается постоянный трафик небольшой
Но заблокированного трафика больше.
Подскажите пожалуйста, как посмотреть логи или статистику . Где это можно проанализировать?
Спасибо большое за помощь

Нашел в Status: System logs:
Но там только 50 записей

Clipboard09.jpg_thumb

werter

Я же вам еще в самом первом сообщение написал :

Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:

http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
https://forum.pfsense.org/index.php/topic,21394.180.html
http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0

editvol

Спасибо, Werter за помощь. Конечно же я мало в чем разобрался, но когда пришли от провайдера манагеры и подписали задним числом договор на безлимит, директора обрадовались, что им не надо платить 35000 руб. за перерасход. Жесть. Меняем провайдера на того у которого после превышения лимита только скорость падает, а не каждый мегабайт превышения за отдельные деньги.
;)

ultra

@werter:

Вам нужно закрыть IPv6 , поставив это правило выше всех.

Можете объяснить для чего это нужно и какой вид имеет правило(а) в фаерволе?

derwin

можно смотреть расход траффика через встроенный пакет bandwidthd
там всё весьма понятненько. Ставится в пару кликов.