Как узнать кто съел трафик
-
У меня 2.1.4-RELEASE (i386)
Лимитрированный интернет.
С воскресенья расход трафика превысил 65ГБ. в месяц офис больше 7 Гб никогда не расходовал. Как узнать что случилось. Есть подозрение, что куда-то стучится и качает сам Pfsense. Я не опытный и Pfsense только чтобы объединить по ipSec два офиса. Помогите. Спрашивайте. RRDgraf смотрел, но не знаю где посмотреть статистику Спасибо -
Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:
http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
https://forum.pfsense.org/index.php/topic,21394.180.html
http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0Есть подозрение, что куда-то стучится и качает сам Pfsense.
Это не pfsense. Разбирайтесь с машинами в вашей сети - где-то есть или торрент-клиент или запущен какой-то сервис (ftp, tor etc.)
И проверьте ваши машины на вирусы.P.s. Покажите правила на LAN и WAN.
-
СПАСИБО, что помогаете.
Да у меня в офисе свои работают. Два директора и два бухгалтера. И удаленный офис по IPSEC Но никто ни чего не перегонял. Да и время загрузки воскресенье - никого нет.
-
Т.е. с правила на LAN , разрешающими всё , всем и везде вы пламенно уверены , что никто ничего не качал ? И по вашему IPSec между офисами тоже?
Тогда мы по-разному смотрим на такие вещи как контроль и безопасность.За что вы, уж и извините , что говорю как есть, и поплатились. Исправляйте ситуацию - разрешайте только то, что действительно необходимо.
P.s. Заметьте, что идет не только скачивание, но и отдача.
-
:-\ Да. Вы правы, но я в таких делах никакой. Pfsense устанавливал еще года 2 назад, т.к. у него есть возможность multiwan, что невозможно было с бытовыми роутерами. И канал IPsec можно поднять, если использовать на другой стороне роутеры ТР-LINK, в которых есть поддержка тунеля IPsec. Сейчас уже остался только один канал, т.к. денег нет у организации и тот лимитированный. Такое первый раз за 2 года. Вот я и подумал, что может это какой то глюк, т.к. начал в эти дни тормозить интернет. Зашел в PFsense и увидел, что сессий больше 48000. Помог только сброс в дефолт и заново настройка. К сожалению не посмотрел на график загрузки.
С правилами у меня вообще беда. Если делаю по мануалу, то ничего не работает, поэтому везде any. А найти типовую настройку для офиса я не могу, т.к. здесь только профи.
Прога сама по себе чудесная и мне очень нравится, но я почему то предполагал, что там где график загрузки вычисляется там можно увидеть и то куда все бьется.
А еще не пойму как настроить, чтобы трафик обрезался после превышения лимита.Спасибо за понимание.
-
Вам нужно закрыть IPv6 , поставив это правило выше всех. Далее, разрешаете только TCP\UDP IPv4 порты (в destination) - 53 (DNS), TCP IPv4 - 80 (HTTP),443 (HTTPS) и протокол ICMP (пока весь). А для IPSec , кажется , правила автоматом создаются при конфигурации. Если нужно что-то специфическое - клиент-банки и т.д. и т.п. , то узнаете какие адреса и порты использует софт (обычно есть на сайте пр-ля) и открываете только их. В source ставите LAN subnet.
При конфигурировании включайте логирование fw , тогда будет понятно , что и кому необходимо разрешать\запрещать.Закон :
правила на интерфейсах читаются сверху-вниз, т.е. если вы сперва что-то разрешили, а потом решили это запретить, то необходимо правило с запретом перемещать выше разрешающего правила. Ну и до кучи необходимо делать Reset states для применения правил к уже установленным соединениям.
Есть еще Floating rules (плавающие правила). Они выполняются для всех интерфейсов (если явно не указывать) и работают первее правил на явных интерфейсах (LAN, WAN etc.).
Пока не разберетесь - не трогайте их.P.s. Поищите книгу по pfsense . Есть и на русском.
Удачи -
Спасибо.
LAN subnet ставил, но что-то не работало. Попробую еще раз.
А по графику я подумал - может это какой то широковещательный запрос был. Провайдер прислал распечатку там примерно 66 байт на каждое соединение. Может поэтому и график зеркальный WAN-LAN
По вашему описанию настроек фаервола попробую сделать, т.к. в целом все понятно пока.
Еще раз спасибо.прислали распечатку соединений от провайдера
100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь. Придется переходить на безлимит. -
100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь …
На внешний WAN ?
Покажите правила на WAN.
Придется переходить на безлимит.
Это не выход из ситуации.
P.s. Какой тип подключения к интернет у вас исп-ся ? Не dual\russian ?

 -
Правила на WAN первой картинке, в начале поста
У меня статичный IP, шлюз, DNS соответсвенно
Сейчас активности нет. Думаю, что провайдер просто раскручивал нас на безлимит и он этого добился. Оказалось, что такое же было где-то пол года назад, но директора думали, что они сами накосячили и оплатили перерасход.
Галочки у меня там нет, так же как на картинке.
А что такое dual\russian? Встречал настройкуТP-Link. -
Я бы этого так не оставлял.
Логи провайдера смотрели ,с каких адресов шло такое дело ? Оч. часто китайцы таким балуются. И это нужно пресечь.
Покажите немного логов пров-ра. -
Часть логов от провайдера. Пустой столбик это наш статический IP.
Хотел прикрепить XLS, но че то меня выбрасывает из форума.
-
А попробуйте-ка на WAN явно создать правило , запрещающее обращение к 53-му порту TCP\UDP. Поставьте его выше всех, включите на нем логирование и посмотрите идет ли обращение нему в логах fw.
-
Да есть какие-то отрезанные пакеты, но атака закончилась еще позавчера
Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer. Эксперементировать пока не могу так как офис и так настрадался за это время и провайдер их запугав суммой переплаты раскрутил на безлимит.
Я прикрепил картинку. Я видимо что-то не правильно делаю . :-[
-
Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer
TЕсли вы оставили прежние настройки на LAN - у вас там работать будет всё , что только возможно.
-
забыл прикрепить правила LAN. Делал по какому то описанию ::)
-
Вот за два дня наблюдается постоянный трафик небольшой
Но заблокированного трафика больше.
Подскажите пожалуйста, как посмотреть логи или статистику . Где это можно проанализировать?
Спасибо большое за помощьНашел в Status: System logs:
Но там только 50 записей
-
Я же вам еще в самом первом сообщение написал :
Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:
http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
https://forum.pfsense.org/index.php/topic,21394.180.html
http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0 -
Спасибо, Werter за помощь. Конечно же я мало в чем разобрался, но когда пришли от провайдера манагеры и подписали задним числом договор на безлимит, директора обрадовались, что им не надо платить 35000 руб. за перерасход. Жесть. Меняем провайдера на того у которого после превышения лимита только скорость падает, а не каждый мегабайт превышения за отдельные деньги.
;) -
Вам нужно закрыть IPv6 , поставив это правило выше всех.
Можете объяснить для чего это нужно и какой вид имеет правило(а) в фаерволе?
-
можно смотреть расход траффика через встроенный пакет bandwidthd
там всё весьма понятненько. Ставится в пару кликов.