maniackiller Опубликовано 23 апреля, 2009 · Жалоба Народ помогите внести ясность в сложившуюся ситуацию. Существует сеть. В качестве бордера выступает FreeBSD(раньше стояла Cisco, но из-за глюков пришлось ее снять). uname -a FreeBSD gateway-bord 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Wed Apr 1 14:35:51 YEKST 2009 root@gateway-bord:/usr/obj/usr/src/sys/gateway i386 У бордера есть 2-а интерфейса: На первом rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC> ether 00:13:10:0b:a3:d0 inet 24.115.10.12 netmask 0xfffffffc broadcast 24.115.10.13 media: Ethernet autoselect (100baseTX <full-duplex>) status: active Данный интерфейс служит для соединения с аплинком. Для этого поднята quagga. Взаимодействие осуществляется по протоколу BGP. На втором rl1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:13:10:0b:a3:d1 inet 143.220.40.1 netmask 0xffffff00 broadcast 143.220.40.255 inet 143.220.50.1 netmask 0xffffff00 broadcast 143.220.50.255 inet 143.220.60.1 netmask 0xffffff00 broadcast 143.220.60.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active висят клиентские подсети, из этих подсетей выдаются IP-шники клиентам. Подсчет трафика ведется с бордера по нетфлоу. Для этого ядро было собрано с опциями для NETGRAPH. Вот сама схема: !/bin/sh /usr/sbin/ngctl mkpeer rl1: tee lower left /usr/sbin/ngctl connect rl1: rl1:lower upper right /usr/sbin/ngctl mkpeer rl1:lower one2many left2right many0 /usr/sbin/ngctl connect rl1:lower.left2right rl1:lower many1 right2left /usr/sbin/ngctl name rl1:lower.right2left o2m /usr/sbin/ngctl mkpeer o2m: netflow one iface0 /usr/sbin/ngctl name o2m:one netflow /usr/sbin/ngctl mkpeer netflow: hub export one /usr/sbin/ngctl name netflow:export netflow0 /usr/sbin/ngctl mkpeer netflow0: ksocket two inet/dgram/udp /usr/sbin/ngctl msg netflow0:two connect inet/(IPбиллинга):9995 Т.е. нетфлоу снимается с интерфейса rl1, где висят клиентские подсети. И вот в чем непонятки. На клиентский ip каждый день приходит от 5 до 7 Мбайт. Т.е. за сутки набегает столько. Этим ip адресом уже никто не пользуется. А трафик все равно идет. В чем может быть проблема? Может неправильно настроен NETGRAPH или еще что? Объясните плиз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 23 апреля, 2009 · Жалоба Ну со вторым вопросом все просто. ipfw add 1 count ip from any to 1.2.3.4 in и сравнить счетчик на правиле и у вас в нетфлоу. А так мне никто не мешает написать нечто вида ping -t -l 1400 143.220.60.2 и пойти за пивОм. на месяц. Адреса то реальные. Посмотрите трафик, может там какой троян был раньше, и он так и долбится. Или в ДНСе прописан хост какой старым владельцем. Если трафик идет откуда то из одного места, напишите туда. Если много откуда - забейте. но 5 мег в сутки - не так чтобы очень много. Скорее всего просто паразитный трафик и он есть не только на этот IP, но на все.. или там раньше прокси был открытый, к примеру. Тогда это желающие им воспользоваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 24 апреля, 2009 · Жалоба В г. Волжском, в ЮТК есть такой форум: forum.vlz.ru, так он однажды пользователю одной сети сквозь нат алайвами начал примерно по столько же в сутки херачить. Пользователь терминировался не на шлюзе, но с терминатора прилетал пакет Host Unreachable, который шлюзом успешно отправлялся ЮТКшному апачу. Но тот ни в какую не хотел этого понимать. Проблему, кажется, так и не решили. Связаться с тамошним сисадмином не получилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...