Разница в трафике. Откуда?



  • Смотрю инфу в Status: Interfaces, там написано:
    WAN interface (fxp0)
    In/out packets  9698506/737867 (2.96 GB/52.01 MB)
    LAN interface (re0)
    In/out packets  741848/1103637 (56.05 MB/1.39 GB)
    LAN interface - один, WAN interface тоже один… Почему такое расхождение цифр у LAN и WAN ?  ???



  • Смотри логи ферволла, поставь ntop, анализируй его графики. Возможно какойто жесткий флуд в твоей сети.



  • Не знаю, можно ли это считать флудом, но лог файрвола выглядит примерно так:

    
    	Mar 6 22:09:27 	WAN 	10.50.67.38:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:27 	WAN 	10.50.73.19:138 	10.50.79.255:138 	UDP
    	Mar 6 22:09:27 	WAN 	10.50.227.228:137 	10.50.239.255:137 	UDP
    	Mar 6 22:09:27 	WAN 	10.51.33.186:137 	10.51.47.255:137 	UDP
    	Mar 6 22:09:27 	LAN 	192.168.1.90:137 	192.168.1.255:137 	UDP
    	Mar 6 22:09:27 	WAN 	10.20.65.45:138 	10.20.79.255:138 	UDP
    	Mar 6 22:09:27 	WAN 	10.51.18.187:137 	10.51.31.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.76.74:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.64.106:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.49.244:137 	10.51.63.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.35.109:137 	10.51.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.228.76:137 	10.50.239.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.18.187:137 	10.51.31.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.20.224.140:137 	10.20.239.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.49.5:138 	10.51.63.255:138 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.49.22:137 	10.51.63.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.192.249:137 	10.50.207.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.64.166:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.21.33.38:137 	10.21.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.34.106:137 	10.51.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.20.224.97:137 	10.20.239.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.75.139:138 	10.50.79.255:138 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.75.139:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.21.33.38:137 	10.21.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.229.84:137 	10.50.239.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.241.236:137 	10.50.255.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.64.166:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.71.25:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.36.107:137 	10.51.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.33.142:137 	10.51.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.80.99:137 	10.51.95.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.67.248:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.67.38:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.67.248:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	LAN 	192.168.1.90:137 	192.168.1.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.34.244:137 	10.51.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.76.74:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.21.48.39:137 	10.21.63.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.64.106:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.69.77:138 	10.50.79.255:138 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.69.77:137 	10.50.79.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.35.109:137 	10.51.47.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.49.244:137 	10.51.63.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.228.76:137 	10.50.239.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.20.224.140:137 	10.20.239.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.51.18.187:137 	10.51.31.255:137 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.241.30:138 	10.50.255.255:138 	UDP
    	Mar 6 22:09:28 	WAN 	10.20.65.45:138 	10.20.79.255:138 	UDP
    	Mar 6 22:09:28 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
    

    Это то, что отбито.



  • А что на WAN делают запросы из приватной сети? Думаю неправильно настроены правила, и кое кто эти пользуется
    http://forum.windowsfaq.ru/archive/index.php/t-28355.html



  • dvserg
    Не совсем понял вопрос. Я не в курсе, что такое "серая сеть" :)



  • @egoist:

    dvserg
    Не совсем понял вопрос. Я не в курсе, что такое "серая сеть" :)

    Приватная сеть (серая) это адреса локальной сети вида 10.х.х.х 192.168.х.х 172…
    Запросы из этой зоны на WAN подозрительны и не должны иметь место.



  • dvserg
    10.х.х.х - это локальная сеть провайдера. Такие же юзеры как и я. Всем юзерам дается IP вида 10.х.х.х А вот что запросы делают на WAN не знаю, я в сетях совсем не шарю. Это нужно провайдера напрягать, чтобы разобрались?

    И вопрос по ntop: добавил, но в Diagnostics->ntop не зайти. Почему-то комп ломится на 192.168.1.1:3000 и все заканчивается "The connection to the server was reset while the page was loading"



  • Ну на пальцах ничего не объяснить не зная вашей схемы. На Wan нужно запретить входящие из подсети прова, а у вас скорее всего стоит разрешить все.



  • http://support.microsoft.com/kb/150543/ru
    в логах фаерволла видны широковещательные запросы из сетей, по назначению являющихся локальными. Скорее всего это домашние юзвери и недоадмины, воткнувшие комп(ы) с виндой в одну сеть с провайдером. При желании можно утащить чужие файлы и вообще все что можно сделать в локалке.
    Советую купить у провайдера 1 выделенный ип. Обычно это стоит 10-100р. А нормальные провайдеры выдают их бесплатно при подключении.
    В таких условиях нужно максимально огородится. Разрешить только нужные для работы порты.



  • Понятно. А какое правило все это сделает (запретит все запросы из локалки провайдера)? Попробовал на WAN добавить:
    Action: Block
    Proto: *
    Source: 10.0.0.0/8
    Port: *
    Destination: *
    Gateway: *
    Но в логах файрвола ничего не изменилось. Мне нужно порезать все 10...* Как это сделать?



  • Нужно не запрещать,  а разрешать. Т.е удалить все разрешающие правила типа  tcp\udp any to any.
    Разрешить
    На LAN:
    LAN * LAN * (вместо LAN * WAN *)
    LAN * WAN 80
    Это разрешит любой трафик в локальной сети и исходящие на 80 (http)
    Если нужен https, аналогично открываем 443 итд
    На WAN нужно оставить стандартные запреты (private, bogons). Соответствующая галочка есть в Interfaces - WAN.



  • deutsche
    У меня примерно так и сделано. Только кроме 80 порта разрешены: 21, 53, 443, 465, 995, 5190
    Этого: LAN * LAN * не было.
    На WAN стандартные запреты…
    Могу скрины скинуть.



  • @egoist:

    в Diagnostics->ntop не зайти. Почему-то комп ломится на 192.168.1.1:3000 и все заканчивается "The connection to the server was reset while the page was loading"

    ntop не запущен наверно. Проверь в services. Очень падучий этот ntop.
    Давай скрины





  • Для Торрентов нормальное распределение трафика. Еще учти, что, если у тебя прошло более 4ГБ через интерфейс, то статистика сбрасывается. Для ведение более менее нормальной статистки нужен vnstat. RRD - Traffic тоже даст некое представление.
    вместо кучи правил лучше юзать alias'ы.
    2 правило лишнее
    6969 зачем нужен?
    На WAN сурц для торрентов может быть любой ( приватная сеть уже блокирована первыми двумя правилами)

    Вот моя статистика:
    LAN
    In/out packets 136125836/124464853 (1.41 GB/1.14 GB)
    WAN
    In/out packets 123675559/135704241 (83.71 MB/664.52 MB)
    При этом в RRD

    ![??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png](/public/imported_attachments/1/??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png)
    ![??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png_thumb](/public/imported_attachments/1/??????-pfsense.trct.local - Status: RRD Graphs - Chromium.png_thumb)



  • 6969 нужен для коннекта к некоторым трекерам.
    Но я же никому ничего не отдал, только качал. Почему нормальное распределение? У меня торрент-клиент только по необходимости запущен. Сейчас он не загружен, но на WAN все равно трафик набегает.
    Остальное подправил.



  • Торренты могут раздаться даже при 1ом скачанном кусочке файла. Отчего трафик набегает лучше смотреть в tcpdump'e или ntop. Видимо флуд из локалки блокируется, но все равно учитывается.



  • @egoist:

    Смотрю инфу в Status: Interfaces, там написано:
    WAN interface (fxp0)
    In/out packets  9698506/737867 (2.96 GB/52.01 MB)
    LAN interface (re0)
    In/out packets  741848/1103637 (56.05 MB/1.39 GB)
    LAN interface - один, WAN interface тоже один… Почему такое расхождение цифр у LAN и WAN ?   ???

    LAN out 1.39 GB - это чорная молния в переводе гоблина скачанная с торрента
    WAN in 2.96- 1.39 = 1.70 GB флуда?
    50 мегабайт исходящих это то что ты раздал. Одмины трекера тебя забанят за такое.



  • Вот что творится на WAN:
    http://img710.imageshack.us/img710/4201/graphd.png
    При этом на LAN что-то около 0. Я так понимаю, скорость инета задушена на 300-400Kbps?

    Торренты могут раздаться даже при 1ом скачанном кусочке файла.

    Могут, но для этого должен быть запущен торрент-клиент хотя бы…

    tcpdump не нашел в списке. ntop - не понятно как запустить.



  • Зайди в консоль pfsense. Запусти pftop, переключи режим сортировки (order) клавишей o в rate. Увидишь самые активные соединения.



  • Смотрю инфу в Status: Interfaces, там написано:
    WAN interface (fxp0)
    In/out packets      9698506/737867 (2.96 GB/52.01 MB)
    LAN interface (re0)
    In/out packets      741848/1103637 (56.05 MB/1.39 GB)

    Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
    Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на  WAN около 8 Г мусора.



  • Еще график:
    http://img191.imageshack.us/img191/518/graph1c.png

    Запусти pftop

    Сейчас попробую.



  • @dvserg:

    Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
    Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на  WAN около 8 Г мусора.

    Чото никогда не обращал внимания на цифры до скобок. Разве это не сырые данные о кол-ве пакетов. (In out Packets)



  • Сделал:
    http://img535.imageshack.us/img535/3970/img3686.jpg
    И что это значит? Там все время разные IP были.
    Извиняюсь за качество.  ::)



  • @deutsche:

    @dvserg:

    Lan IN ==> Wan OUT 741848/737867 трафик из локалки наружу
    Wan IN ==> Lan OUT 9698506/1103637 трафик из инета в локалку видно что на  WAN около 8 Г мусора.

    Чото никогда не обращал внимания на цифры до скобок. Разве это не сырые данные о кол-ве пакетов. (In out Packets)

    Да, то есть пакеты, просто разница в 8 тыщ. пакетов и сравнить твои выкладки в гигах - похоже на флуд пустыми пакетами. Возможно вирусня из сетки прова шалит.



  • Не так давно перезапускал pfSense (uptime 02:31), после перезапуска ничего не качал:
    WAN interface (fxp0)
    In/out packets   1022959/20282 (362.95 MB/6.82 MB)
    LAN interface (re0)
    In/out packets   26212/27128 (7.80 MB/19.21 MB)



  • @egoist:

    Сделал:
    http://img535.imageshack.us/img535/3970/img3686.jpg
    И что это значит? Там все время разные IP были.
    Извиняюсь за качество.  ::)

    То что на скрине, эт только соединения с одминского компа на веб интерфейс и в гугл. Это хорошо!!!
    теперь управляя стрелками вправо влево можно перевести вид (view) в size и увидим самые быстрые соединения с самым большим обьемом переданного.
    Если это флуд, возможно стоит сменить правила с block на reject и слать весь их флуд назад!!!
    Кстати НАТить торрент (если расчет на внешних пиров) здесь бесполезное дело - провайдеру пофиг на твои наты, ты все равно за провайдерским натом не сможешь принять входящее из внешних сетей.
    Можно посоветовать только сменить провайдера и\или купить IP.

    Чувак, открой для себя ssh и putty :)



  • Чувак, открой для себя ssh и putty

    А как ssh и putty помогут чуваку? :) В чем выгода?

    Кстати НАТить торрент (если расчет на внешних пиров) здесь бесполезное дело

    Ок. А как тогда торрент запустить?

    Сделал:
    http://img535.imageshack.us/img535/9463/img3687l.jpg
    Замазан мой локальный, провайдерский IP



  • @egoist:

    Чувак, открой для себя ssh и putty

    А как ssh и putty помогут чуваку? :) В чем выгода?

    Кстати НАТить торрент (если расчет на внешних пиров) здесь бесполезное дело

    Ок. А как тогда торрент запустить?

    Сделал:
    http://img535.imageshack.us/img535/9463/img3687l.jpg
    Замазан мой локальный, провайдерский IP

    Удаленка со всеми вытекающими. Не нужно так извращаться с фотоаппаратом пожалуйста.
    Торрент для работы не требует портфорварда. Он требует возможности установить соединенение хотя бы с одной из сторон. В этом случае твой компьютер находится за 2 мя натами. Провайдерский и Локальный за пфсенсом. Локально портфорвард сделан и можно принимать соединения из провайдерской сети, но для остального интернета твой компьютер пассивен. Поэтому плохо идет раздача.
    На скрине опять таки ничего криминального нет.



  • Попробовал соединиться через putty, пишет access denied. В логах "sshd[25640]: error: PAM: authentication error for illegal user <мой login> from 192.168.1.90" Буду разбираться.
    [add]: Проблемы с putty решил.

    За ночь (в инет никто не ходил):
    WAN interface (fxp0)
    In/out packets   2466913/43964 (1017.65 MB/21.00 MB)
    LAN interface (re0)
    In/out packets   51943/49846 (22.62 MB/31.68 MB)
    В логе все так же:

    
    	Mar 7 09:33:13 	WAN 	10.50.145.118:137 	10.50.159.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.75.244:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.227.150:137 	10.50.239.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.20.65.147:137 	10.20.79.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.51.80.99:137 	10.51.95.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.192.247:137 	10.50.255.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.145.118:137 	10.50.159.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.145.118:137 	10.50.159.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.145.118:137 	10.50.159.255:137 	UDP
    	Mar 7 09:33:13 	WAN 	10.50.75.244:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.51.34.244:137 	10.51.47.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.50.227.150:137 	10.50.239.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.51.80.99:137 	10.51.95.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.50.192.247:137 	10.50.255.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.21.32.88:137 	10.21.47.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.50.75.244:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.51.34.244:137 	10.51.47.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.50.227.150:137 	10.50.239.255:137 	UDP
    	Mar 7 09:33:14 	WAN 	10.51.80.99:137 	10.51.95.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.145.118:137 	10.50.159.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.192.247:137 	10.50.255.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.20.224.244:137 	10.20.239.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.21.32.88:137 	10.21.47.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.75.244:138 	10.50.79.255:138 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.75.244:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.75.244:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.51.34.244:137 	10.51.47.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.51.80.99:137 	10.51.95.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.145.118:137 	10.50.159.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:15 	WAN 	10.20.224.244:137 	10.20.239.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.21.32.88:137 	10.21.47.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.20.65.147:137 	10.20.79.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.75.244:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.192.247:137 	10.50.255.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.51.34.244:137 	10.51.47.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.51.80.99:137 	10.51.95.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.224.195:137 	10.50.239.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.145.118:137 	10.50.159.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.72.221:137 	10.50.79.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.20.192.45:137 	10.20.207.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.68.71:138 	10.50.79.255:138 	UDP
    	Mar 7 09:33:16 	WAN 	10.20.224.244:137 	10.20.239.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.21.32.88:137 	10.21.47.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.20.65.147:137 	10.20.79.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.229.168:137 	10.50.239.255:137 	UDP
    	Mar 7 09:33:16 	WAN 	10.50.75.244:137 	10.50.79.255:137 	UDP
    

    Почему файрвол отрабатывает запросы ни как не относящиеся к моему IP? Например, Source: 10.20.224.244:137, Destination: 10.20.239.255:137
    А провайдера имеет смысл напрягать? Или просто можно не париться из-за этого, ну наматывается трафик и фиг с ним?



  • Source: 10.20.224.244:137, Destination: 10.20.239.255:137
    10.20.239.255 -широковещательный адрес(255). Такие запросы используются например для обьявления существования общего доступа к папкам компьютера 10.20.224.244. Вирусня их тоже использует.
    Лично к тебе в логах нет запросов.
    Конечно провайдеру минус за такое безобразие в его сети.
    МЕНЯЙ ПРОВАЙДЕРА @ КУПИ IP



  • deutsche
    Ок. Спасибо за помощь.


Log in to reply