Meine pfSense lädt permament herunter



  • Hallo,

    mir ist es schon häufig aufgefallen, aber langsam stört es doch sehr  :(

    Die Bandbreite an meinem Anschluß ist häufig und für längere Zeit maximal belegt. Ich finde nur niemanden mit Bordmitteln der "saugt" am Anschluß. pftop listet eine öffentliche IP die Traffic mit meiner öffentlichen IP verursacht. Ist es also die Box selbst die wie wild herunter lädt?

    Ich vermute ja evtl. den Squid mit Cache Dynamic Content. Aber selbst der legt ja nicht nach Lust und Laune los und lädt und vergleicht seinen Cache oder?

    Vielleicht kann mir jemand bei der Suche helfen, ich poste auch ggf. nötige Konfig's und Log's.

    Grüße



  • Unter Status -> Traffic Graph auswählen und dann kannst du das LAN-Interface auswählen.
    Damit solltest du den Übeltäter endecken.

    Das die Pfsense selbst den Traffic erzeugt, kann ich mir auch nicht vorstellen.



  • Vielen Dank!

    Leider findet eben dort nichts statt! Aber auf der Übersichtsseite ist WAN voll ausgelastet, primär im Downstream.



  • Hmm, das ist merkwürdig. Wo was rein geht, sollte auch was rausgehen. Es sei denn du testet mit Iperf die WAN-Schnittstelle :D

    Hast du sonst noch ein Interface ausser LAN und WAN ?



  • Das meine ich auch  ???

    Nur LAN und WAN, wobei auf LAN weder bei BW In noch BW Out mehr Traffic als auf einer ISDN Leitung gelistet wird.

    Deshalb dachte ich das der pf "zu sich selbst" lädt, quasi im Eigenbedarf  ::)

    Hier mal ein Bild, man beachte die Rasterung gerade auf der LAN Seite bis 1.5 und im Vergleich die WAN Seite mit 6 Mbps.



  • Niemand eine Idee oder Ähnliches beobachtet?

    Wie würde mir den Iperf helfen und wie nutzt man es?

    Hier sind nochmal meine Squid Custom Pattern falls nützlich:

    negative_ttl 5 second;
    negative_dns_ttl 5 second;

    Eigene Pattern

    refresh_pattern -i microsoft.com/..(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
    refresh_pattern -i windowsupdate.com/.
    .(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
    refresh_pattern -i windows.com/.*.(cab|exe|ms[i|u|f]|[ap]sf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
    refresh_pattern -i .(gif|png|jpg|jpeg|ico)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
    refresh_pattern -i .(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 43200 90% 432000 override-expire ignore-no-cache ignore-no-store ignore-private
    refresh_pattern -i .(deb|rpm|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tiff)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
    refresh_pattern -i .index.(html|htm)$ 0 40% 10080
    refresh_pattern -i .(html|htm|css|js)$ 1440 40% 40320
    range_offset_limit 204800 KB
    quick_abort_min -1

    Die letzten zwei Zeilen dienen wohl dazu das größere Windows Updates geladen werden können. Das Ganze stammt aus einem Hilfsbeitrag, den ich aber wiederum etwas abgespeckt hatte.

    Außerdem hier meine AddOns:

    c-icap Icap inteface for squid and clamav integration
    clamd Clamav Antivirus
    cron Scheduled commands daemon
    dhcpd DHCP Service
    dnsmasq DNS Forwarder
    snort Snort IDS/IPS Daemon
    squid Proxy server Service
    squidGuard Proxy server filter Service
    sshd Secure Shell Daemon
    vhosts-http LigHTTPD web server service



  • Übeltäter scheint gefunden. Es ist tatsächlich Squid. Lädt an den psf Dateien von Windowsupdates scheinbar auch dann herunter wenn schon viele Stunden nichts angefordert wurde.

    Zumindest passte einer der IPs zum Eintrag im Squid Log für ein Windows Update. Leider kann ich so nie vernünftig sehen welcher lokale PC den Anstoß zum Download gab.

    Kann man eigentlich dafür sorgen das Squid die Datei zwar cached, aber gleichzeitig auch schon dem anfordernden Client zur Verfügung stellt?