Stránka 1 z 1
Divný traffic
Napsal: 03 Mar 2014 13:18
od ssnakess
Ahoj,
koukal jsem na traffic a něco mi nesedí. RB2011, ROS 6.10, všechny porty v bridge krom WAN. Provoz na bridge (spodní) a na WAN (horní) nesedí před 12h. Koukal jsem i na grafy jednotlivých portu a nic. Nevíte čím to je? RB si stahuje něco pro sebe nebo-li nějaký útok?
Re: Divný traffic
Napsal: 03 Mar 2014 13:44
od sub_zero
může to být útok. Nemáš tam povolený DNS server z WANu?
Re: Divný traffic
Napsal: 03 Mar 2014 13:48
od ssnakess
sub_zero píše:může to být útok. Nemáš tam povolený DNS server z WANu?
Mám ve firewallu to co jsi nedávno postoval.
chain=input action=accept protocol=udp in-interface=!WAN dst-port=53
chain=input action=accept protocol=tcp in-interface=!WAN dst-port=53
chain=input action=accept protocol=udp in-interface=WAN src-port=53
Re: Divný traffic
Napsal: 03 Mar 2014 14:12
od shooter
není povolený ftp ?
Re: Divný traffic
Napsal: 03 Mar 2014 14:24
od Noxus28
ja teda neviem ale tie firewall rules na DNS ti toho moc neriešia ak za tým niekde nemáš drop ostatnej komunikácie
Re: Divný traffic
Napsal: 03 Mar 2014 14:27
od sub_zero
Noxus28 píše:ja teda neviem ale tie firewall rules na DNS ti toho moc neriešia ak za tým niekde nemáš drop ostatnej komunikácie
Tak to je snad logicky. Psal jsem to i v tom topicu. Máme na inputu asi 60 pravidel a poslední je drop. Takže pokud tam má jen to dns, tak samozřejmě drop.
Re: Divný traffic
Napsal: 03 Mar 2014 14:34
od midnight_man
Mas na tom RB aj simple queue pre ludi?
Re: Divný traffic
Napsal: 03 Mar 2014 14:43
od ssnakess
Samozřejmě na konci drop. FTP je zakázány. Mám simple queue pro lidi, ale to by bylo vidět na bridge interface nebo na jednotlivych portech ne?
Re: Divný traffic
Napsal: 03 Mar 2014 14:53
od midnight_man
Už som to pár krát videl, na router tečie traffic a tam ostáva. Všimni si, že vtedy jeden z tvojich klientov niečo sťahoval (dáke torenty alebo UDP bordel). Síce to oreže klientovi traffic ale až za GW. Je to čudné, stalo sa nám to asi 2-3x a nik to nevedel poriadne vysvetliť.
Re: Divný traffic
Napsal: 03 Mar 2014 14:56
od sub_zero
Je pravda, že my zažili něco podobnýho. Routovaná veřejná IP adresa uvniř naší sítě generovala asi 1Mbit provoz do internetu (tisíce malých TCP spojení) a zpět z inetu se nám z těch stejných IP valil 1Gbit UDP flood, kterej ale skončil na naší bráně a nešel až dál na tu IP adresu. Taky jsme z toho byli ze začátku vybití jak baterka. Pak se to stalo ještě asi 3x a tu IP jsme vyjmuli z BGP a nasměrovali do blackhole. Od té doby klid.
Re: Divný traffic
Napsal: 03 Mar 2014 15:03
od midnight_man
presne niečo na podobný štýl to môže byť....ono pokiaľ to nie je v stovkách MBPs človek si to ani nevšimne
Re: Divný traffic
Napsal: 03 Mar 2014 19:09
od ssnakess
Jediný co jsem dělal je, že jsem hodinu předtím připojil jedno zařízení a zapomněl přidat SQ. Ale to by bylo vidět na portu.
Dá se UDP flood nebo ten bordel nějak dropnout?
Re: Divný traffic
Napsal: 03 Mar 2014 22:33
od marc7
Re: Divný traffic
Napsal: 04 Mar 2014 21:10
od ssnakess
Díky za rady, uvidím jestli se to bude opakovat.
Re: Divný traffic
Napsal: 12 Mar 2014 21:11
od ssnakess
Dneska mi napadlo, jestli to nemohlo být tím, že jsem dělal bandwidth test?
Zkoušel jsem to zbova a ANO je to tím
