![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ADSL, деньги, трафик и iptables
А вот скажите мне, как такое может быть?
Имеется ADSL модем, подключенный к одному местному бзопровайдеру. Модем включен как статик ethernet, со статическим адресом, без всяких pppoe. Работает натом для локальной сети.
Начиная с некоторого времени заметили, что сильно уж большой исходящий трафик - много больше, чем входящий, и в основном в то время, когда на работе никого нет - выходные и ночь. Перерыли все включенные компы - никаких троянов, хакеров, руткитов и вирусов.
Ну, а мне чо-то стукнуло в голову полезть на модем и набрать "iptables -L -v -n". Смотрю - ну в цепочке форвард явная хрень - никто ничего не делает, а трафик растет быстро. Добавил правило - "iptables -A FORWARD -i nas0 -j DROP", добавил правило чтобы выпускало нас в интернеты(-i br0 -j ACCEPT), а дефолтную полиси сделал DROP
После этого для нас ничего не изменилось, так как наши соединения отрабатываются другим правилом ранее в цепочке. Зато вот это новое правило начало дропать кучи мелких пакетов с офигенным трафиком, а статистика у провайдера резко пришла в норму - входящий больше исходящего, по ночам минимален, итд.
В arp таблице модема видны несколько чужих адресов на интерфейсе nas0, но это потому что в ихнем WAN, похоже, все друг друга видят.
Вот интересно, что это вообще может быть и чем это победить без ручного добавления правил в iptables модема.
А то ведь за то время, за которое я разберусь как эти правила прописать в прошивку модема, я бы для работы наработал бы столько, что денег хватит оплатить и новый модем, и весь паразитный трафик, и еще останется на пиво :) (потенциальную прибыль от подобных знаний в будущем не рассматриваем)
Имеется ADSL модем, подключенный к одному местному бзопровайдеру. Модем включен как статик ethernet, со статическим адресом, без всяких pppoe. Работает натом для локальной сети.
Начиная с некоторого времени заметили, что сильно уж большой исходящий трафик - много больше, чем входящий, и в основном в то время, когда на работе никого нет - выходные и ночь. Перерыли все включенные компы - никаких троянов, хакеров, руткитов и вирусов.
Ну, а мне чо-то стукнуло в голову полезть на модем и набрать "iptables -L -v -n". Смотрю - ну в цепочке форвард явная хрень - никто ничего не делает, а трафик растет быстро. Добавил правило - "iptables -A FORWARD -i nas0 -j DROP", добавил правило чтобы выпускало нас в интернеты(-i br0 -j ACCEPT), а дефолтную полиси сделал DROP
После этого для нас ничего не изменилось, так как наши соединения отрабатываются другим правилом ранее в цепочке. Зато вот это новое правило начало дропать кучи мелких пакетов с офигенным трафиком, а статистика у провайдера резко пришла в норму - входящий больше исходящего, по ночам минимален, итд.
В arp таблице модема видны несколько чужих адресов на интерфейсе nas0, но это потому что в ихнем WAN, похоже, все друг друга видят.
Вот интересно, что это вообще может быть и чем это победить без ручного добавления правил в iptables модема.
А то ведь за то время, за которое я разберусь как эти правила прописать в прошивку модема, я бы для работы наработал бы столько, что денег хватит оплатить и новый модем, и весь паразитный трафик, и еще останется на пиво :) (потенциальную прибыль от подобных знаний в будущем не рассматриваем)
no subject
1 Узнал бы что является истоником исходящего трафика: сам модем, или какой-то компьютер в сети, для чего на какой-то период времени отключить всем компьютеры.
2 Если оказалось что сам модем - написать в саппорт иготовителя модема проблему
3 Если саппорт разведёт руками - попросить у провайдера логи: типа что у куда модем лезет.
4 По логам делать вывод.
no subject
no subject