BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: ipfw+natd
СообщениеДобавлено: Чт 01 авг, 2013 11:18 am 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
Сегодня ночью у клиента резко вырос трафик,
еле подключился к серваку, канал напрочь забит.
Все запросы валятся на/от 108.162.238.239, это вроде какое-то облако http://www.cloudflare.com
Закрыл туда доступ на фаере, вот статистика минут за 10 после блокирования:
ipfw show |grep 235
00235 1508332 3256484550 deny ip from me to 108.162.238.239

народ ходит через нат (демон natd).
Возможно ли посмотреть таблицу нат? Кто ломился на этот айпи?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw+natd
СообщениеДобавлено: Пт 02 авг, 2013 1:34 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 27 дек, 2005 8:00 am
Сообщения: 217
Статей: 3

Откуда: Челябинск
А tcpdump-ом? На шлюзе погляди в реальном времени кто запросы шлет на этот IP.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw+natd
СообщениеДобавлено: Пт 02 авг, 2013 1:38 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
ещё /usr/ports/net/trafshow в помощь

как вариант сделать логирование нужных правил ipfw


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw+natd
СообщениеДобавлено: Пт 02 авг, 2013 4:24 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 896
Path: /usr/ports/net-mgmt/iftop
Info: Display bandwidth usage on an interface by host


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw+natd
СообщениеДобавлено: Пт 02 авг, 2013 5:30 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
кстати, ещё не помешает трафико-считалку любую(ipacctd,ng_ipacct и т.п.) завести


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw+natd
СообщениеДобавлено: Пн 05 авг, 2013 8:43 am 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
короче вот что происходит

вобщем пошел по пути наименьшего сопротивления :)
Так как народу не очень много, и все айпишники статитеческие, поочереди вырубал их из ната, ни к чему это не привело.
трафик как рос так и растет. Причем лавинообразно, то тихо, то скачки до скорости 19 мбит/сек (смотрел iftop)
Сделал ваще через задницу - вырубил локалку из прокси и сразу нашел проблему, проблема в ДНС, вернее в bind 9.3.3

Выключаю bind - все шикарно, все нарядно. Включаю - сразу куча запросов на кучу адресов, скорость до 19 мбит/сек и канал ложится.

Фря 6.1, обновление не желательно. Обновил порты, столкнулся с проблемой установки софта - решил. Поставил бинд 9.8.2.5 - думал исправится, фигвам - та же кухня.
ДНС вырубать совсем нельзя, он держит зоны и светится наружу.
Какой осел так поставил мне неведомо. Досталось в наследство. Прокся для локалки и ДНС наружу - надо быть наверное идиотом чтобы так сделать.
Пока вижу выход только один - на отдельной машине поднять ДНС и вывести ее наружу, на проблемной ДНС вырубить.
Может кто еще что посоветует?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: ipfw+natd
СообщениеДобавлено: Пн 05 авг, 2013 10:06 am 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
уф..все разобрался))
Моя невнимательность, плюс бардак в конфиге named.
прое...необратил внимание на комметарий // закоменчено было разрешить доступ только для локалки и своих IP
стояло ваще что доступ для всей сети (0.0.0.0/0), убрал, снял коммент - и все пришло в норму.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика