Tráfego muito alto na WAN (100%) -

santello

Consegue um print do Diagnostics > States durante um período de 100% de uso?

reinaldo.feitosa

Esta usando squid3?

Tive o mesmo problema e era os sites do windows update, e o update do google chrome.

Verifica ai se é o mesmo caso.

henriquejensen

seria interessante você permitir tráfego somente nas portas que serão usada, como a 53, 80, 443. Fica difícil uma investigação com todas as portas de saída abertas, tenta aí, segue as dicas que o pessoal já citou no tópico aqui e nos retorne  ;)

uelitonjunior

Pessoal, bom dia.

CONSEGUI SOLUCIONAR O PROBLEMA.

Permitam-me compartilhar a experiência.

Eu realizei um teste com o seguinte cenário: conectei o meu notebook diretamente na porta LAN do pfSense e configurei manualmente a minha interface ethernet com gateway em branco. Com isso eu isolei o pfSense da minha rede interna, descartando qualquer possibilidade da requisição partir de algum dispositivo interno ou do meu notebook.

Mesmo com essas configurações o problema continuou: tráfego excessivo na WAN e nenhum tráfego da LAN.

Outra tentativa: reiniciei o modem da GVT para as configurações de fábrica, colocando-o novamente em bridge. Sem sucesso: problema continuou.

Com isso cheguei à seguinte conclusão: "talvez o problema seja no servidor do pfSense".

Por último só me restou uma alternativa: formatar o servidor do pfSense, realizando uma instalação "limpa" a partir do zero. BINGO!

Após esse procedimento o problema foi RESOLVIDO.

Não sei qual foi a causa, mas esse foi o único procedimento que resolveu o problema.

Agradeço a todos que ofereceram ajuda.

Grande abraço!

avner_ads

Olá pessoal,

Estou com o mesmo problema. Utilizo proxy transparente e tenho três regras de firewall na interface LAN: Acesso à porta 80 e 443 e acesso ao 8.8.8.8 através da porta 53 (Nâo possuo servidor DNS internamente).

O tráfego da interface WAN está elevado mesmo o tráfego da LAN estando quase sem utilização.

Monitoro pelo pftop e não consigo visualizar o tráfego que está entrando na WAN, na LAN está quase zerado. O traffic grafics mostra o comparativo entre as duas.

Mais alguém passou por esse problema?

reinaldo.feitosa

Verifique se em Proxy server -> Local Cache esta marcado a opção "Cache Dynamic Content" se tiver ai está o problema.

Explicando:

Quando esta marcado o conteúdo dinámico (Windows update, youtube, chrome update, etc) quando um usuário tenta fazer uma atualização dinâmica o proxy tenta fazer um cache de todas as atualizações disponíveis para liberar para o usuário a que ele esta solicitando. Desta forma o proxy utiliza todo o link baixando os pacotes para depois liberar para o usuário.

avner_ads

reinaldo.feitosa Vou verificar assim que possível e te dou retorno. Realmente faz sentido, estava monitorando com o pftop e várias vezes é aberta uma conexão para o cache do google na Oi e para os serviços Akamai. Fui desatento quanto a essa opção. Vou checar!

avner_ads

Olá reinaldo.feitosa, verifiquei a configuração e não esta com o checkbox marcado. Estou monitorando o tráfego, nesse momento as duas interfaces estão com altas taxas. Tenho 3 regras, uma para o DNS do Google, HTTP e HTTPS. Como é proxy transparente não consigo bloquear sites HTTPS, mas utilizo o squidguard.
Essa semana mesmo vou mudar essas configurações e usar o wpad, acredito que vamos ter melhores resultados assim.

avner_ads

reinaldo.feitosa A opção está desmarcada, mas em Proxy Server > Custom Options tinham algumas configurações personalizadas de Refresh Parttern. Que me parece fazer exatamente o que você tinha dito:

refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/..(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;
range_offset_limit -1;
refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/..(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1;
refresh_pattern ([^.]+.|)avg.com/..(bin) 4320 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)spywareblaster.net/..(dtb) 4320 100% 64800 reload-into-ims;
refresh_pattern ([^.]+.|)symantecliveupdate.com/..(zip|exe) 43200 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)avast.com/..(vpu|vpaa) 4320 100% 43200 reload-into-ims;

Não sei dizer porque tinham colocado isso, pois comecei a administrar esse PF recentemente.

uelitonjunior Por mim o tópico pode ser classificado como Resolvido.

reinaldo.feitosa

@avner_ads:

reinaldo.feitosa A opção está desmarcada, mas em Proxy Server > Custom Options tinham algumas configurações personalizadas de Refresh Parttern. Que me parece fazer exatamente o que você tinha dito:

refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/..(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;
range_offset_limit -1;
refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/..(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1;
refresh_pattern ([^.]+.|)avg.com/..(bin) 4320 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)spywareblaster.net/..(dtb) 4320 100% 64800 reload-into-ims;
refresh_pattern ([^.]+.|)symantecliveupdate.com/..(zip|exe) 43200 100% 43200 reload-into-ims;
refresh_pattern ([^.]+.|)avast.com/..(vpu|vpaa) 4320 100% 43200 reload-into-ims;

Não sei dizer porque tinham colocado isso, pois comecei a administrar esse PF recentemente.

uelitonjunior Por mim o tópico pode ser classificado como Resolvido.

Exatamente as regras para cache de download dinâmicos