Запускаю trafshow на внешнем интерфейсе:
# trafshow -i rl1И вижу среди прочего следующее:
From Address To Address Proto Bytes CPS
==========================================================================================
192.168.3.3..2938 192.168.1.99..netbios-ss tcp 40 8
192.168.3.3..2936 192.168.1.99..netbios-ss tcp 40 8
192.168.3.3..2935 192.168.1.99..microsoft- tcp 40 8
192.168.3.3..2937 192.168.1.99..microsoft- tcp 40 8
217.251.x.216..router 255.255.255.255..router udp 52На машине все стандартно: FreeBSD 6.0-RELEASE, два интерфейса -
rl0: inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
rl1: inet 217.251.x.x netmask 0xffffff00 broadcast 217.251.x.255Вот что непонятно: откуда постоянно берутся строки с адресами вида 192.168.3.3..2936. Вроде бы не бродкасты, а каким образом сетевуха их ловит??? И причем на них набегает ощутимый трафик. Можно как-нибудь объяснить это?
>Запускаю trafshow на внешнем интерфейсе:
># trafshow -i rl1
>
>И вижу среди прочего следующее:
>
>From Address
> To Address
>
>
> Proto
>Bytes CPS
>==========================================================================================
>192.168.3.3..2938 192.168.1.99..netbios-ss
>
> tcp
> 40 8
>192.168.3.3..2936 192.168.1.99..netbios-ss
>
> tcp
> 40 8
>192.168.3.3..2935 192.168.1.99..microsoft-
>
> tcp
> 40 8
>192.168.3.3..2937 192.168.1.99..microsoft-
>
> tcp
> 40 8
>217.251.x.216..router 255.255.255.255..router
> udp
>
> 52
>
>На машине все стандартно: FreeBSD 6.0-RELEASE, два интерфейса -
>rl0: inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
>rl1: inet 217.251.x.x netmask 0xffffff00 broadcast 217.251.x.255
>
>Вот что непонятно: откуда постоянно берутся строки с адресами вида 192.168.3.3..2936. Вроде
>бы не бродкасты, а каким образом сетевуха их ловит??? И причем
>на них набегает ощутимый трафик. Можно как-нибудь объяснить это?Скорее всего у Вас старый/битый trafshow (version?).
Скачайте новый из портов и посмотрите результат.
Стояла версия 3.1 (та что из портов). Нашел на сайте автора последнюю версию (5.2.3). Ситуация немного изменилась, но все равно вижу такие записи:Source Destination Protocol Size CPS
------------------------------------------------------------------------------------------
00:09:7c:73:dd:4c 01:80:c2:00:00:00 stp 5940 19
00:05:00:94:c0:38 broadcast arp 360 35
217.x.x.195,netbios-dg 217.x.x.255,netbios-dg udp 237
00:0f:3d:1a:65:38 broadcast arp 120 8
217.x.x.247,49927 ns.extel.ru,domain udp 73
217.x.x.216,router 255.255.255.255,router udp 52
217.151.70.82,2861 217.x.x.209,microsoft- tcp 48
192.168.3.3,4814 192.168.1.99,netbios-ss tcp 40
192.168.3.3,4813 192.168.1.99,microsoft- tcp 40
Особенно непонятно вот что: на днях провайдер выставил счет за очень большое превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто сталкивался с таким. Может ли быть такая утечка трафика на бродкаст адрес и как это в принципе возможно???
>Особенно непонятно вот что: на днях провайдер выставил счет за очень большое
>превышение, утверждая что данные пришли не на мой адрес (217.x.x.247), но
>на мою сетевуху на адрес 217.x.x.255 (!!). Господа, помогите, может кто
>сталкивался с таким. Может ли быть такая утечка трафика на бродкаст
>адрес и как это в принципе возможно???Запретите входящие броадкаст пакеты на внешний адрес.
Запретите входящие пакеты на внешний адрес с адресом получателя != 217.x.x.247
Запретите исходящие пакеты с внешнего адреса с адресом отправителя != 217.x.x.247