Tráfego muito alto na WAN (100%) -



  • Olá pessoal.

    Preciso da ajuda de vocês.

    O meu servidor pfSense está com a versão mais atual: 2.2.

    WAN: pppoe1 - link da GVT de 35Mbps

    LAN: re2 - rede interna.

    Observando os "Traffic Graphs" percebi um download constante na WAN, que está consumindo toda a capacidade do link. Fica o tempo todo em 30-35 Mbps. O estranho é que este tráfego não aparece no gráfico da LAN.

    Utilizando o iftop através do shell eu consigo monitorar o pppoe1 e os IP's externos que estão consumindo toda a banda. Após identificar os IPs eu vou em "Diagnostics > States" e encerro manualmente a conexão com esses IPs.

    Eu já fiz uma análise de toda a minha rede interna. Nenhum software "suspeito" está sendo utilizado. Todas as estações são "travadas" por GPO (Active Directory) e o pessoal só utiliza Office e o sistema ERP da empresa. Nada de torrents e afins.

    Após vários monitoramentos com iftop, trafshow, wireshark e traffic graphs, a conclusão que cheguei é que este tráfego excessivo na WAN não passa para a rede interna e também não foi requisitado pela rede interna.

    O problema é que isso está consumindo toda a banda de internet. Enfim, não consigo descobrir o que está ocorrendo.

    Será um bug no pfSense 2.2? Será algum tipo de ataque?

    Por favor, me ajudem.

    Obrigado.



  • Olá uelitonjunior boa tarde!

    cara estou utilizando essa versao em dois clientes e esta super estavel, para nao dizer 100%, um dos clientes, estava tendo picos de 100% no processamento e memoria, porém era uso abusivo dos funcionarios baixando filmes videos e torrent, pois a diretoria nao permite bloquear entao o que acabei fazendo para solucionar foi limitar o uso de banda o que melhorou praticamente 80% dos meus problemas.

    Já testou o link direto em sua máquina pode ser um problema do link também, ou mesmo algum ataque externo ou algum virus em alguma máquina abrindo diversas conexoes.

    abs



  • Olá, rvl. Boa tarde.

    Nós temos o pfSense rodando muito bem em outras 4 lojas da nossa empresa. Nessas lojas não temos nenhum problema. Tudo muito estável.

    O problema ocorre somente em uma de nossas lojas. O uso de internet aqui na empresa é bem controlado. Torrents, streaming e downloads diversos são todos bloqueados (pelo próprio pfSense, via Squid e SquidGuard).

    Estou suspeitando que possa ser algum vírus ou ataque externo.

    Vou continuar monitorando e tentando encontrar uma solução.

    Quando tiver novidades vou compartilhar aqui no fórum.

    Obrigado pela ajuda.



  • blz uelitonjunior ficamos no aguardo…

    boa sorte

    abraços,



  • uelitonjunior, vc não consegue nem descobrir qual o ip que está originando a conexão na sua wan? ou a porta?



  • Bom dia, henriquejensen.

    Utilizando o iftop -nNpPi pppoe1 eu consigo identificar esses IP's. Segue abaixo a relação de alguns IPs que anotei em apenas 10 minutos de monitoramento:

    186.215.111.9 : 62946
    186.215.111.9 : 59759
    186.215.111.8 : 34176
    186.215.111.10 : 15975
    186.215.111.11 : 7608
    186.215.111.80 : 47464
    186.215.111.17 : 47757
    186.215.111.17 : 42371
    186.215.111.17 : 62023
    68.232.32.220 : 1935

    Ontem eu percebi também endereços IP de outra faixa, mas infelizmente não anotei as portas.

    72.246.56.42

    64.208.186.106 
    64.208.186.123
    64.208.186.90 
    64.208.159.18
    64.208.159.11
    64.208.159.40

    23.15.8.224

    Conforme eu informei antes, esses IPs ficam mudando o tempo todo. Eu identifico eles no iftop e encerro a conexão deles manualmente em "Diagnostics > States". Mas assim que a conexão encerra, passa uns 2 minutos e aparece outro IP consumindo toda a banda.



  • Existem regras de liberação p/ portas de entrada?



  • Bom dia, santeLLo.

    Só existem as regras de firewall padrão do pfSense. Segue em anexo o printscreen das regras WAN e LAN.

    ![Regras WAN.JPG](/public/imported_attachments/1/Regras WAN.JPG)
    ![Regras WAN.JPG_thumb](/public/imported_attachments/1/Regras WAN.JPG_thumb)
    ![Regras LAN.JPG](/public/imported_attachments/1/Regras LAN.JPG)
    ![Regras LAN.JPG_thumb](/public/imported_attachments/1/Regras LAN.JPG_thumb)



  • Consegue um print do Diagnostics > States durante um período de 100% de uso?



  • Esta usando squid3?

    Tive o mesmo problema e era os sites do windows update, e o update do google chrome.

    Verifica ai se é o mesmo caso.



  • seria interessante você permitir tráfego somente nas portas que serão usada, como a 53, 80, 443. Fica difícil uma investigação com todas as portas de saída abertas, tenta aí, segue as dicas que o pessoal já citou no tópico aqui e nos retorne  ;)



  • Pessoal, bom dia.

    CONSEGUI SOLUCIONAR O PROBLEMA.

    Permitam-me compartilhar a experiência.

    Eu realizei um teste com o seguinte cenário: conectei o meu notebook diretamente na porta LAN do pfSense e configurei manualmente a minha interface ethernet com gateway em branco. Com isso eu isolei o pfSense da minha rede interna, descartando qualquer possibilidade da requisição partir de algum dispositivo interno ou do meu notebook.

    Mesmo com essas configurações o problema continuou: tráfego excessivo na WAN e nenhum tráfego da LAN.

    Outra tentativa: reiniciei o modem da GVT para as configurações de fábrica, colocando-o novamente em bridge. Sem sucesso: problema continuou.

    Com isso cheguei à seguinte conclusão: "talvez o problema seja no servidor do pfSense".

    Por último só me restou uma alternativa: formatar o servidor do pfSense, realizando uma instalação "limpa" a partir do zero. BINGO!

    Após esse procedimento o problema foi RESOLVIDO.

    Não sei qual foi a causa, mas esse foi o único procedimento que resolveu o problema.

    Agradeço a todos que ofereceram ajuda.

    Grande abraço!



  • Olá pessoal,

    Estou com o mesmo problema. Utilizo proxy transparente e tenho três regras de firewall na interface LAN: Acesso à porta 80 e 443 e acesso ao 8.8.8.8 através da porta 53 (Nâo possuo servidor DNS internamente).

    O tráfego da interface WAN está elevado mesmo o tráfego da LAN estando quase sem utilização.

    Monitoro pelo pftop e não consigo visualizar o tráfego que está entrando na WAN, na LAN está quase zerado. O traffic grafics mostra o comparativo entre as duas.

    Mais alguém passou por esse problema?






  • Verifique se em Proxy server -> Local Cache esta marcado a opção "Cache Dynamic Content" se tiver ai está o problema.

    Explicando:

    Quando esta marcado o conteúdo dinámico (Windows update, youtube, chrome update, etc) quando um usuário tenta fazer uma atualização dinâmica o proxy tenta fazer um cache de todas as atualizações disponíveis para liberar para o usuário a que ele esta solicitando. Desta forma o proxy utiliza todo o link baixando os pacotes para depois liberar para o usuário.



  • reinaldo.feitosa Vou verificar assim que possível e te dou retorno. Realmente faz sentido, estava monitorando com o pftop e várias vezes é aberta uma conexão para o cache do google na Oi e para os serviços Akamai. Fui desatento quanto a essa opção. Vou checar!



  • Olá reinaldo.feitosa, verifiquei a configuração e não esta com o checkbox marcado. Estou monitorando o tráfego, nesse momento as duas interfaces estão com altas taxas. Tenho 3 regras, uma para o DNS do Google, HTTP e HTTPS. Como é proxy transparente não consigo bloquear sites HTTPS, mas utilizo o squidguard.
    Essa semana mesmo vou mudar essas configurações e usar o wpad, acredito que vamos ter melhores resultados assim.



  • reinaldo.feitosa A opção está desmarcada, mas em Proxy Server > Custom Options tinham algumas configurações personalizadas de Refresh Parttern. Que me parece fazer exatamente o que você tinha dito:

    refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/..(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;
    range_offset_limit -1;
    refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/.
    .(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1;
    refresh_pattern ([^.]+.|)avg.com/..(bin) 4320 100% 43200 reload-into-ims;
    refresh_pattern ([^.]+.|)spywareblaster.net/.
    .(dtb) 4320 100% 64800 reload-into-ims;
    refresh_pattern ([^.]+.|)symantecliveupdate.com/..(zip|exe) 43200 100% 43200 reload-into-ims;
    refresh_pattern ([^.]+.|)avast.com/.
    .(vpu|vpaa) 4320 100% 43200 reload-into-ims;

    Não sei dizer porque tinham colocado isso, pois comecei a administrar esse PF recentemente.

    uelitonjunior Por mim o tópico pode ser classificado como Resolvido.



  • @avner_ads:

    reinaldo.feitosa A opção está desmarcada, mas em Proxy Server > Custom Options tinham algumas configurações personalizadas de Refresh Parttern. Que me parece fazer exatamente o que você tinha dito:

    refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/..(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;
    range_offset_limit -1;
    refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/.
    .(cab|exe|msi|msp|psf) 4320 100% 43200 reload-into-ims; range_offset_limit -1;
    refresh_pattern ([^.]+.|)avg.com/..(bin) 4320 100% 43200 reload-into-ims;
    refresh_pattern ([^.]+.|)spywareblaster.net/.
    .(dtb) 4320 100% 64800 reload-into-ims;
    refresh_pattern ([^.]+.|)symantecliveupdate.com/..(zip|exe) 43200 100% 43200 reload-into-ims;
    refresh_pattern ([^.]+.|)avast.com/.
    .(vpu|vpaa) 4320 100% 43200 reload-into-ims;

    Não sei dizer porque tinham colocado isso, pois comecei a administrar esse PF recentemente.

    uelitonjunior Por mim o tópico pode ser classificado como Resolvido.

    Exatamente as regras para cache de download dinâmicos


Log in to reply