Tráfego muito alto na WAN (100%) -
-
Olá, rvl. Boa tarde.
Nós temos o pfSense rodando muito bem em outras 4 lojas da nossa empresa. Nessas lojas não temos nenhum problema. Tudo muito estável.
O problema ocorre somente em uma de nossas lojas. O uso de internet aqui na empresa é bem controlado. Torrents, streaming e downloads diversos são todos bloqueados (pelo próprio pfSense, via Squid e SquidGuard).
Estou suspeitando que possa ser algum vírus ou ataque externo.
Vou continuar monitorando e tentando encontrar uma solução.
Quando tiver novidades vou compartilhar aqui no fórum.
Obrigado pela ajuda.
-
blz uelitonjunior ficamos no aguardo…
boa sorte
abraços,
-
uelitonjunior, vc não consegue nem descobrir qual o ip que está originando a conexão na sua wan? ou a porta?
-
Bom dia, henriquejensen.
Utilizando o iftop -nNpPi pppoe1 eu consigo identificar esses IP's. Segue abaixo a relação de alguns IPs que anotei em apenas 10 minutos de monitoramento:
186.215.111.9 : 62946
186.215.111.9 : 59759
186.215.111.8 : 34176
186.215.111.10 : 15975
186.215.111.11 : 7608
186.215.111.80 : 47464
186.215.111.17 : 47757
186.215.111.17 : 42371
186.215.111.17 : 62023
68.232.32.220 : 1935Ontem eu percebi também endereços IP de outra faixa, mas infelizmente não anotei as portas.
72.246.56.42
64.208.186.106
64.208.186.123
64.208.186.90
64.208.159.18
64.208.159.11
64.208.159.4023.15.8.224
Conforme eu informei antes, esses IPs ficam mudando o tempo todo. Eu identifico eles no iftop e encerro a conexão deles manualmente em "Diagnostics > States". Mas assim que a conexão encerra, passa uns 2 minutos e aparece outro IP consumindo toda a banda.
-
Existem regras de liberação p/ portas de entrada?
-
Bom dia, santeLLo.
Só existem as regras de firewall padrão do pfSense. Segue em anexo o printscreen das regras WAN e LAN.
![Regras WAN.JPG](/public/imported_attachments/1/Regras WAN.JPG)
![Regras WAN.JPG_thumb](/public/imported_attachments/1/Regras WAN.JPG_thumb)
![Regras LAN.JPG](/public/imported_attachments/1/Regras LAN.JPG)
![Regras LAN.JPG_thumb](/public/imported_attachments/1/Regras LAN.JPG_thumb) -
Consegue um print do Diagnostics > States durante um período de 100% de uso?
-
Esta usando squid3?
Tive o mesmo problema e era os sites do windows update, e o update do google chrome.
Verifica ai se é o mesmo caso.
-
seria interessante você permitir tráfego somente nas portas que serão usada, como a 53, 80, 443. Fica difícil uma investigação com todas as portas de saída abertas, tenta aí, segue as dicas que o pessoal já citou no tópico aqui e nos retorne ;)
-
Pessoal, bom dia.
CONSEGUI SOLUCIONAR O PROBLEMA.
Permitam-me compartilhar a experiência.
Eu realizei um teste com o seguinte cenário: conectei o meu notebook diretamente na porta LAN do pfSense e configurei manualmente a minha interface ethernet com gateway em branco. Com isso eu isolei o pfSense da minha rede interna, descartando qualquer possibilidade da requisição partir de algum dispositivo interno ou do meu notebook.
Mesmo com essas configurações o problema continuou: tráfego excessivo na WAN e nenhum tráfego da LAN.
Outra tentativa: reiniciei o modem da GVT para as configurações de fábrica, colocando-o novamente em bridge. Sem sucesso: problema continuou.
Com isso cheguei à seguinte conclusão: "talvez o problema seja no servidor do pfSense".
Por último só me restou uma alternativa: formatar o servidor do pfSense, realizando uma instalação "limpa" a partir do zero. BINGO!
Após esse procedimento o problema foi RESOLVIDO.
Não sei qual foi a causa, mas esse foi o único procedimento que resolveu o problema.
Agradeço a todos que ofereceram ajuda.
Grande abraço!
-
Olá pessoal,
Estou com o mesmo problema. Utilizo proxy transparente e tenho três regras de firewall na interface LAN: Acesso à porta 80 e 443 e acesso ao 8.8.8.8 através da porta 53 (Nâo possuo servidor DNS internamente).
O tráfego da interface WAN está elevado mesmo o tráfego da LAN estando quase sem utilização.
Monitoro pelo pftop e não consigo visualizar o tráfego que está entrando na WAN, na LAN está quase zerado. O traffic grafics mostra o comparativo entre as duas.
Mais alguém passou por esse problema?
-
Verifique se em Proxy server -> Local Cache esta marcado a opção "Cache Dynamic Content" se tiver ai está o problema.
Explicando:
Quando esta marcado o conteúdo dinámico (Windows update, youtube, chrome update, etc) quando um usuário tenta fazer uma atualização dinâmica o proxy tenta fazer um cache de todas as atualizações disponíveis para liberar para o usuário a que ele esta solicitando. Desta forma o proxy utiliza todo o link baixando os pacotes para depois liberar para o usuário.
-
reinaldo.feitosa Vou verificar assim que possível e te dou retorno. Realmente faz sentido, estava monitorando com o pftop e várias vezes é aberta uma conexão para o cache do google na Oi e para os serviços Akamai. Fui desatento quanto a essa opção. Vou checar!
-
Olá reinaldo.feitosa, verifiquei a configuração e não esta com o checkbox marcado. Estou monitorando o tráfego, nesse momento as duas interfaces estão com altas taxas. Tenho 3 regras, uma para o DNS do Google, HTTP e HTTPS. Como é proxy transparente não consigo bloquear sites HTTPS, mas utilizo o squidguard.
Essa semana mesmo vou mudar essas configurações e usar o wpad, acredito que vamos ter melhores resultados assim. -
reinaldo.feitosa A opção está desmarcada, mas em Proxy Server > Custom Options tinham algumas configurações personalizadas de Refresh Parttern. Que me parece fazer exatamente o que você tinha dito:
refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/..(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;
range_offset_limit -1;
refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/..(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1;
refresh_pattern ([^.]+.|)avg.com/..(bin) 4320 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)spywareblaster.net/..(dtb) 4320 100% 64800 reload-into-ims;
refresh_pattern ([^.]+.|)symantecliveupdate.com/..(zip|exe) 43200 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)avast.com/..(vpu|vpaa) 4320 100% 43200 reload-into-ims;Não sei dizer porque tinham colocado isso, pois comecei a administrar esse PF recentemente.
uelitonjunior Por mim o tópico pode ser classificado como Resolvido.
-
reinaldo.feitosa A opção está desmarcada, mas em Proxy Server > Custom Options tinham algumas configurações personalizadas de Refresh Parttern. Que me parece fazer exatamente o que você tinha dito:
refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/..(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;
range_offset_limit -1;
refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/..(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1;
refresh_pattern ([^.]+.|)avg.com/..(bin) 4320 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)spywareblaster.net/..(dtb) 4320 100% 64800 reload-into-ims;
refresh_pattern ([^.]+.|)symantecliveupdate.com/..(zip|exe) 43200 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)avast.com/..(vpu|vpaa) 4320 100% 43200 reload-into-ims;Não sei dizer porque tinham colocado isso, pois comecei a administrar esse PF recentemente.
uelitonjunior Por mim o tópico pode ser classificado como Resolvido.
Exatamente as regras para cache de download dinâmicos