Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как узнать кто съел трафик

    Scheduled Pinned Locked Moved Russian
    20 Posts 4 Posters 7.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      editvol
      last edited by

      Спасибо.
      LAN subnet ставил, но что-то не работало. Попробую еще раз.
      А по графику я подумал - может это какой то широковещательный запрос был. Провайдер прислал распечатку там примерно 66 байт на каждое соединение. Может поэтому и график зеркальный WAN-LAN
      По вашему описанию настроек фаервола попробую сделать, т.к. в целом все понятно пока.
      Еще раз спасибо.

      прислали  распечатку соединений от провайдера
      100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь. Придется переходить на безлимит.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        100000 коннектов по 53 порту все. Либо DNS атака, либо вирус. 53 порт не закроешь …

        На внешний WAN ?

        Покажите правила на WAN.

        Придется переходить на безлимит.

        Это не выход из ситуации.

        P.s. Какой тип подключения к интернет у вас исп-ся ? Не dual\russian ?

        ![System_ Advanced_ Admin Access - Opera.jpg](/public/imported_attachments/1/System_ Advanced_ Admin Access - Opera.jpg)
        ![System_ Advanced_ Admin Access - Opera.jpg_thumb](/public/imported_attachments/1/System_ Advanced_ Admin Access - Opera.jpg_thumb)

        1 Reply Last reply Reply Quote 0
        • E
          editvol
          last edited by

          Правила  на WAN  первой  картинке, в начале поста
          У меня статичный IP, шлюз, DNS соответсвенно
          Сейчас активности нет. Думаю, что провайдер просто раскручивал нас на безлимит  и он этого добился. Оказалось, что такое же было где-то пол года назад, но директора думали, что они сами накосячили  и оплатили перерасход.
          Галочки у меня там нет, так же как на картинке.
          А что такое dual\russian? Встречал настройкуТP-Link.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Я бы этого так не оставлял.

            Логи провайдера смотрели ,с каких адресов шло такое дело ? Оч. часто китайцы таким балуются. И это нужно пресечь.
            Покажите немного логов пров-ра.

            1 Reply Last reply Reply Quote 0
            • E
              editvol
              last edited by

              Часть логов от провайдера. Пустой столбик это наш статический IP.
              Хотел прикрепить XLS, но че то меня выбрасывает из форума.

              log.jpg
              log.jpg_thumb

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                А попробуйте-ка на WAN явно создать правило , запрещающее обращение к 53-му порту TCP\UDP. Поставьте его выше всех, включите на нем логирование и посмотрите идет ли обращение  нему в логах fw.

                1 Reply Last reply Reply Quote 0
                • E
                  editvol
                  last edited by

                  Да есть какие-то отрезанные пакеты, но атака закончилась еще позавчера
                  Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer.  Эксперементировать пока не могу так как офис и так настрадался за это время и провайдер их запугав суммой переплаты раскрутил на безлимит.
                  Я прикрепил картинку. Я видимо что-то не правильно делаю . :-[

                  Clipboard07.jpg
                  Clipboard06.jpg_thumb
                  Clipboard06.jpg
                  Clipboard07.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Я поставил squid c lightsquid и создал правило блокирующее все, но по-моему  у меня все равно пакеты ходят мимо, т.к. без настройки прокси работают программы типа teamviewer

                    TЕсли вы оставили прежние настройки на LAN -  у вас там работать будет всё , что только возможно.

                    1 Reply Last reply Reply Quote 0
                    • E
                      editvol
                      last edited by

                      забыл прикрепить правила LAN. Делал по какому то описанию ::)

                      Clipboard08.jpg
                      Clipboard08.jpg_thumb

                      1 Reply Last reply Reply Quote 0
                      • E
                        editvol
                        last edited by

                        Вот за два дня наблюдается постоянный трафик небольшой
                        Но заблокированного трафика больше.
                        Подскажите пожалуйста, как посмотреть логи или статистику . Где это можно проанализировать?
                        Спасибо большое за помощь

                        Нашел в Status: System logs:
                        Но там только 50 записей

                        Clipboard09.jpg
                        Clipboard09.jpg_thumb

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          Я же вам еще в самом первом сообщение написал :

                          Без доп. плагинов - никак. Можно исп-ть squid c lightsquid + ipcad:

                          http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
                          https://forum.pfsense.org/index.php/topic,21394.180.html
                          http://ru.doc.pfsense.org/index.php/Подсчет_трафика_с_помощью_Squid_и_ipcad_в_pfSense_2.0

                          1 Reply Last reply Reply Quote 0
                          • E
                            editvol
                            last edited by

                            Спасибо, Werter за помощь. Конечно же я мало в чем разобрался, но когда пришли от провайдера манагеры и подписали задним числом договор на безлимит, директора обрадовались, что им не надо платить 35000 руб. за перерасход.  Жесть. Меняем провайдера на того у которого после превышения лимита только скорость падает, а не каждый мегабайт превышения за отдельные деньги.
                            ;)

                            1 Reply Last reply Reply Quote 0
                            • U
                              ultra
                              last edited by

                              @werter:

                              Вам нужно закрыть IPv6 , поставив это правило выше всех.

                              Можете объяснить для чего это нужно и какой вид имеет правило(а) в фаерволе?

                              1 Reply Last reply Reply Quote 0
                              • D
                                derwin
                                last edited by

                                можно смотреть расход траффика через встроенный пакет bandwidthd
                                там всё весьма понятненько. Ставится в пару кликов.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.