Как узнать кто съел трафик

editvol

Правила  на WAN  первой  картинке, в начале поста
У меня статичный IP, шлюз, DNS соответсвенно
Сейчас активности нет. Думаю, что провайдер просто раскручивал нас на безлимит  и он этого добился. Оказалось, что такое же было где-то пол года назад, но директора думали, что они сами накосячили  и оплатили перерасход.
Галочки у меня там нет, так же как на картинке.
А что такое dual\russian? Встречал настройкуТP-Link.

werter

Я бы этого так не оставлял.

Логи провайдера смотрели ,с каких адресов шло такое дело ? Оч. часто китайцы таким балуются. И это нужно пресечь.
Покажите немного логов пров-ра.

editvol

Часть логов от провайдера. Пустой столбик это наш статический IP.
Хотел прикрепить XLS, но че то меня выбрасывает из форума.

werter

А попробуйте-ка на WAN явно создать правило , запрещающее обращение к 53-му порту TCP\UDP. Поставьте его выше всех, включите на нем логирование и посмотрите идет ли обращение  нему в логах fw.

editvol

Да есть какие-то отрезанные пакеты, но атака закончилась еще позавчера
Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer.  Эксперементировать пока не могу так как офис и так настрадался за это время и провайдер их запугав суммой переплаты раскрутил на безлимит.
Я прикрепил картинку. Я видимо что-то не правильно делаю . :-[

werter

Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer

TЕсли вы оставили прежние настройки на LAN -  у вас там работать будет всё , что только возможно.

editvol

забыл прикрепить правила LAN. Делал по какому то описанию ::)

editvol

Вот за два дня наблюдается постоянный трафик небольшой
Но заблокированного трафика больше.
Подскажите пожалуйста, как посмотреть логи или статистику . Где это можно проанализировать?
Спасибо большое за помощь

Нашел в Status: System logs:
Но там только 50 записей

werter

Я же вам еще в самом первом сообщение написал :

Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:

http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
https://forum.pfsense.org/index.php/topic,21394.180.html
http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0

editvol

Спасибо, Werter за помощь. Конечно же я мало в чем разобрался, но когда пришли от провайдера манагеры и подписали задним числом договор на безлимит, директора обрадовались, что им не надо платить 35000 руб. за перерасход.  Жесть. Меняем провайдера на того у которого после превышения лимита только скорость падает, а не каждый мегабайт превышения за отдельные деньги.
;)

ultra

@werter:

Вам нужно закрыть IPv6 , поставив это правило выше всех.

Можете объяснить для чего это нужно и какой вид имеет правило(а) в фаерволе?

derwin

можно смотреть расход траффика через встроенный пакет bandwidthd
там всё весьма понятненько. Ставится в пару кликов.