Как узнать кто съел трафик

editvol

Спасибо.
LAN subnet ставил, но что-то не работало. Попробую еще раз.
А по графику я подумал - может это какой то широковещательный запрос был. Провайдер прислал распечатку там примерно 66 байт на каждое соединение. Может поэтому и график зеркальный WAN-LAN
По вашему описанию настроек фаервола попробую сделать, т.к. в целом все понятно пока.
Еще раз спасибо.

прислали  распечатку соединений от провайдера
100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь. Придется переходить на безлимит.

werter

100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь …

На внешний WAN ?

Покажите правила на WAN.

Придется переходить на безлимит.

Это не выход из ситуации.

P.s. Какой тип подключения к интернет у вас исп-ся ? Не dual\russian ?


editvol

Правила  на WAN  первой  картинке, в начале поста
У меня статичный IP, шлюз, DNS соответсвенно
Сейчас активности нет. Думаю, что провайдер просто раскручивал нас на безлимит  и он этого добился. Оказалось, что такое же было где-то пол года назад, но директора думали, что они сами накосячили  и оплатили перерасход.
Галочки у меня там нет, так же как на картинке.
А что такое dual\russian? Встречал настройкуТP-Link.

werter

Я бы этого так не оставлял.

Логи провайдера смотрели ,с каких адресов шло такое дело ? Оч. часто китайцы таким балуются. И это нужно пресечь.
Покажите немного логов пров-ра.

editvol

Часть логов от провайдера. Пустой столбик это наш статический IP.
Хотел прикрепить XLS, но че то меня выбрасывает из форума.

werter

А попробуйте-ка на WAN явно создать правило , запрещающее обращение к 53-му порту TCP\UDP. Поставьте его выше всех, включите на нем логирование и посмотрите идет ли обращение  нему в логах fw.

editvol

Да есть какие-то отрезанные пакеты, но атака закончилась еще позавчера
Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer.  Эксперементировать пока не могу так как офис и так настрадался за это время и провайдер их запугав суммой переплаты раскрутил на безлимит.
Я прикрепил картинку. Я видимо что-то не правильно делаю . :-[

werter

Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer

TЕсли вы оставили прежние настройки на LAN -  у вас там работать будет всё , что только возможно.

editvol

забыл прикрепить правила LAN. Делал по какому то описанию ::)

editvol

Вот за два дня наблюдается постоянный трафик небольшой
Но заблокированного трафика больше.
Подскажите пожалуйста, как посмотреть логи или статистику . Где это можно проанализировать?
Спасибо большое за помощь

Нашел в Status: System logs:
Но там только 50 записей

werter

Я же вам еще в самом первом сообщение написал :

Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:

http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
https://forum.pfsense.org/index.php/topic,21394.180.html
http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0

editvol

Спасибо, Werter за помощь. Конечно же я мало в чем разобрался, но когда пришли от провайдера манагеры и подписали задним числом договор на безлимит, директора обрадовались, что им не надо платить 35000 руб. за перерасход.  Жесть. Меняем провайдера на того у которого после превышения лимита только скорость падает, а не каждый мегабайт превышения за отдельные деньги.
;)

ultra

@werter:

Вам нужно закрыть IPv6 , поставив это правило выше всех.

Можете объяснить для чего это нужно и какой вид имеет правило(а) в фаерволе?

derwin

можно смотреть расход траффика через встроенный пакет bandwidthd
там всё весьма понятненько. Ставится в пару кликов.