Jump to content
Калькуляторы

непонятно откуда трафик

Народ помогите внести ясность в сложившуюся ситуацию.

Существует сеть. В качестве бордера выступает FreeBSD(раньше стояла Cisco, но из-за глюков пришлось ее снять).

uname -a
FreeBSD gateway-bord 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Wed Apr  1 14:35:51 YEKST 2009     root@gateway-bord:/usr/obj/usr/src/sys/gateway  i386

У бордера есть 2-а интерфейса:

На первом rl0:

flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:13:10:0b:a3:d0
        inet 24.115.10.12 netmask 0xfffffffc broadcast 24.115.10.13
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Данный интерфейс служит для соединения с аплинком. Для этого поднята quagga. Взаимодействие осуществляется по протоколу BGP.

 

На втором rl1:

flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:13:10:0b:a3:d1
        inet 143.220.40.1 netmask 0xffffff00 broadcast 143.220.40.255
        inet 143.220.50.1 netmask 0xffffff00 broadcast 143.220.50.255
        inet 143.220.60.1 netmask 0xffffff00 broadcast 143.220.60.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

висят клиентские подсети, из этих подсетей выдаются IP-шники клиентам.

 

Подсчет трафика ведется с бордера по нетфлоу. Для этого ядро было собрано с опциями для NETGRAPH. Вот сама схема:

!/bin/sh

        /usr/sbin/ngctl mkpeer rl1: tee lower left
        /usr/sbin/ngctl connect rl1: rl1:lower upper right
        /usr/sbin/ngctl mkpeer rl1:lower one2many left2right many0
        /usr/sbin/ngctl connect rl1:lower.left2right rl1:lower many1 right2left
        /usr/sbin/ngctl name rl1:lower.right2left o2m
        /usr/sbin/ngctl mkpeer o2m: netflow one iface0
        /usr/sbin/ngctl name o2m:one netflow
        /usr/sbin/ngctl mkpeer netflow: hub export one
        /usr/sbin/ngctl name netflow:export netflow0
        /usr/sbin/ngctl mkpeer netflow0: ksocket two inet/dgram/udp
        /usr/sbin/ngctl msg netflow0:two connect inet/(IPбиллинга):9995

 

Т.е. нетфлоу снимается с интерфейса rl1, где висят клиентские подсети.

 

И вот в чем непонятки. На клиентский ip каждый день приходит от 5 до 7 Мбайт. Т.е. за сутки набегает столько. Этим ip адресом уже никто не пользуется. А трафик все равно идет. В чем может быть проблема? Может неправильно настроен NETGRAPH или еще что? Объясните плиз.

Share this post


Link to post
Share on other sites

Ну со вторым вопросом все просто.

ipfw add 1 count ip from any to 1.2.3.4 in

и сравнить счетчик на правиле и у вас в нетфлоу.

 

А так мне никто не мешает написать нечто вида

ping -t -l 1400 143.220.60.2

и пойти за пивОм. на месяц. Адреса то реальные.

Посмотрите трафик, может там какой троян был раньше, и он так и долбится. Или в ДНСе прописан хост какой старым владельцем. Если трафик идет откуда то из одного места, напишите туда. Если много откуда - забейте. но 5 мег в сутки - не так чтобы очень много. Скорее всего просто паразитный трафик и он есть не только на этот IP, но на все.. или там раньше прокси был открытый, к примеру. Тогда это желающие им воспользоваться.

Share this post


Link to post
Share on other sites

В г. Волжском, в ЮТК есть такой форум: forum.vlz.ru, так он однажды пользователю одной сети сквозь нат алайвами начал примерно по столько же в сутки херачить. Пользователь терминировался не на шлюзе, но с терминатора прилетал пакет Host Unreachable, который шлюзом успешно отправлялся ЮТКшному апачу. Но тот ни в какую не хотел этого понимать. Проблему, кажется, так и не решили. Связаться с тамошним сисадмином не получилось.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this