Как узнать кто съел трафик



  • У меня 2.1.4-RELEASE (i386) 
    Лимитрированный интернет.
    С воскресенья расход трафика превысил  65ГБ. в месяц офис больше 7 Гб никогда не расходовал. Как узнать что случилось. Есть подозрение, что куда-то стучится и качает сам Pfsense.  Я не опытный и Pfsense только чтобы объединить по ipSec два офиса. Помогите. Спрашивайте.  RRDgraf смотрел, но не знаю где посмотреть статистику Спасибо



  • Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:

    http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
    https://forum.pfsense.org/index.php/topic,21394.180.html
    http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0

    Есть подозрение, что куда-то стучится и качает сам Pfsense.

    Это не pfsense. Разбирайтесь с машинами в вашей сети - где-то есть или торрент-клиент или запущен какой-то сервис (ftp, tor etc.)
    И проверьте ваши машины на вирусы.

    P.s. Покажите правила на LAN и WAN.



  • СПАСИБО, что помогаете.
    Да у меня в офисе свои работают. Два директора и два бухгалтера. И удаленный офис по IPSEC Но никто ни чего не перегонял. Да и время загрузки воскресенье - никого нет.










  • Т.е. с правила на LAN , разрешающими всё , всем и везде вы пламенно уверены , что никто ничего не качал ? И по вашему IPSec между офисами тоже?
    Тогда мы по-разному смотрим на такие вещи как контроль и безопасность.

    За что вы, уж и извините , что говорю как есть,  и поплатились. Исправляйте ситуацию - разрешайте только то, что действительно необходимо.

    P.s. Заметьте, что идет не только скачивание, но и отдача.



  • :-\ Да. Вы правы, но я в таких делах никакой. Pfsense устанавливал еще года 2 назад, т.к. у него есть возможность multiwan, что невозможно было с бытовыми роутерами. И канал IPsec можно поднять, если использовать на другой стороне роутеры ТР-LINK, в которых есть поддержка тунеля IPsec. Сейчас уже остался только один канал, т.к. денег нет у организации и  тот лимитированный. Такое первый раз за 2 года. Вот я и подумал, что может это какой то глюк, т.к. начал в эти дни тормозить интернет. Зашел в PFsense и увидел, что сессий больше 48000. Помог только сброс в дефолт и заново настройка. К сожалению не посмотрел на график загрузки.
    С правилами у меня вообще беда. Если делаю по мануалу, то ничего не работает, поэтому везде any.  А найти типовую настройку для офиса я не могу, т.к. здесь только профи.
    Прога сама по себе чудесная и мне очень нравится, но я почему то предполагал, что там где график загрузки вычисляется там можно увидеть и то куда все бьется.
    А еще не пойму как настроить, чтобы трафик обрезался после превышения лимита.

    Спасибо за понимание.



  • Вам нужно закрыть IPv6 , поставив это правило выше всех. Далее, разрешаете только TCP\UDP IPv4 порты (в destination) - 53 (DNS),  TCP IPv4 - 80 (HTTP),443 (HTTPS) и протокол ICMP (пока весь). А для IPSec , кажется , правила автоматом создаются при конфигурации. Если нужно что-то специфическое - клиент-банки и т.д. и т.п. , то узнаете какие адреса и порты использует софт (обычно есть на сайте пр-ля) и открываете только их. В source ставите LAN subnet.
    При конфигурировании включайте логирование fw , тогда будет понятно , что и кому необходимо разрешать\запрещать.

    Закон :

    правила на интерфейсах читаются сверху-вниз, т.е. если вы сперва что-то разрешили, а потом решили это запретить, то необходимо правило с запретом перемещать выше разрешающего правила. Ну и до кучи необходимо делать Reset states для применения правил к уже установленным соединениям.

    Есть еще Floating rules (плавающие правила). Они выполняются для всех интерфейсов (если явно не указывать) и работают первее правил на явных интерфейсах (LAN, WAN etc.).
    Пока не разберетесь - не трогайте их.

    P.s. Поищите книгу по pfsense . Есть и на русском.
    Удачи



  • Спасибо.
    LAN subnet ставил, но что-то не работало. Попробую еще раз.
    А по графику я подумал - может это какой то широковещательный запрос был. Провайдер прислал распечатку там примерно 66 байт на каждое соединение. Может поэтому и график зеркальный WAN-LAN
    По вашему описанию настроек фаервола попробую сделать, т.к. в целом все понятно пока.
    Еще раз спасибо.

    прислали  распечатку соединений от провайдера
    100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь. Придется переходить на безлимит.



  • 100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь …

    На внешний WAN ?

    Покажите правила на WAN.

    Придется переходить на безлимит.

    Это не выход из ситуации.

    P.s. Какой тип подключения к интернет у вас исп-ся ? Не dual\russian ?

    ![System_ Advanced_ Admin Access - Opera.jpg](/public/imported_attachments/1/System_ Advanced_ Admin Access - Opera.jpg)
    ![System_ Advanced_ Admin Access - Opera.jpg_thumb](/public/imported_attachments/1/System_ Advanced_ Admin Access - Opera.jpg_thumb)



  • Правила  на WAN  первой  картинке, в начале поста
    У меня статичный IP, шлюз, DNS соответсвенно
    Сейчас активности нет. Думаю, что провайдер просто раскручивал нас на безлимит  и он этого добился. Оказалось, что такое же было где-то пол года назад, но директора думали, что они сами накосячили  и оплатили перерасход.
    Галочки у меня там нет, так же как на картинке.
    А что такое dual\russian? Встречал настройкуТP-Link.



  • Я бы этого так не оставлял.

    Логи провайдера смотрели ,с каких адресов шло такое дело ? Оч. часто китайцы таким балуются. И это нужно пресечь.
    Покажите немного логов пров-ра.



  • Часть логов от провайдера. Пустой столбик это наш статический IP.
    Хотел прикрепить XLS, но че то меня выбрасывает из форума.




  • А попробуйте-ка на WAN явно создать правило , запрещающее обращение к 53-му порту TCP\UDP. Поставьте его выше всех, включите на нем логирование и посмотрите идет ли обращение  нему в логах fw.



  • Да есть какие-то отрезанные пакеты, но атака закончилась еще позавчера
    Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer.  Эксперементировать пока не могу так как офис и так настрадался за это время и провайдер их запугав суммой переплаты раскрутил на безлимит.
    Я прикрепил картинку. Я видимо что-то не правильно делаю . :-[






  • Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer

    TЕсли вы оставили прежние настройки на LAN -  у вас там работать будет всё , что только возможно.



  • забыл прикрепить правила LAN. Делал по какому то описанию ::)




  • Вот за два дня наблюдается постоянный трафик небольшой
    Но заблокированного трафика больше.
    Подскажите пожалуйста, как посмотреть логи или статистику . Где это можно проанализировать?
    Спасибо большое за помощь

    Нашел в Status: System logs:
    Но там только 50 записей




  • Я же вам еще в самом первом сообщение написал :

    Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:

    http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
    https://forum.pfsense.org/index.php/topic,21394.180.html
    http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0



  • Спасибо, Werter за помощь. Конечно же я мало в чем разобрался, но когда пришли от провайдера манагеры и подписали задним числом договор на безлимит, директора обрадовались, что им не надо платить 35000 руб. за перерасход.  Жесть. Меняем провайдера на того у которого после превышения лимита только скорость падает, а не каждый мегабайт превышения за отдельные деньги.
    ;)



  • @werter:

    Вам нужно закрыть IPv6 , поставив это правило выше всех.

    Можете объяснить для чего это нужно и какой вид имеет правило(а) в фаерволе?



  • можно смотреть расход траффика через встроенный пакет bandwidthd
    там всё весьма понятненько. Ставится в пару кликов.