Marcio, você pode usar o TCPDUMP que vem nativo no pfsense. coloca ele pra salvar um arquivo e depois abre com o Wireshark
Em 4 de agosto de 2014 14:18, Marcio S - Aker <[email protected]> escreveu: > Bom, passar o malwarebytes removeu algumas ameaças mas nao resolveu o > problema. > Interessante qeu tem momentos de "silencio" agora entre 12 e 14 Hs o > trafego na lan caiu pra menos de 1 Mb ( que é o normal) > No meio da semana devo retornar para a empresa. Como sugeriod pelo Paulo > quero colocar uma maquina entre a lan e o pfsense para capturar o > trafego.... > Qual seria a melhor opcao? Uma maquina com livecd de linux e duas placas > de rede? Colocar o pfsense como bridge nessa maquina ( > https://forum.pfsense.org/index.php?topic=50711.0 ) ? > Obrigado e abraços. > > > > From: [email protected] > > To: [email protected] > > Date: Fri, 1 Aug 2014 09:40:06 -0300 > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > Bom dia Paulo, nao cosnegui fazer a captura pois estou fora da empresa > por alguns dias, pois precisarai colocar uma maquina entre a rede e o > pfsense pra fazer a captura. Pedi para a outra pessoa que cuida da parte do > sistema ( sistema web java que roda num dos servidores) e da manutencao dos > servidores para fazer uma varredura. Ela passoo o malwarebytes, e no > servidor que tem o sistema encotrou 9 pragas, entre elas trojas. No outro ( > que é somente servidor de arquivo) somente 1. Vamos ver se era somente isso > > Ja mandei novamente e-mail aa direção informando da necessidade da > compra de um bom sistema anti-virus ( ja havia avisado antes, mas nao > quiseram comprar). > > > > Mas vou seguir minha luta no pfsense....deixar ele mais restrito e ver > se realmente vai melhorar e se eram so esses dois servidores com problema. > > > > Sera que o Snort ou Suricata me ajudaria nessa briga? > > > > Abraços > > > > > Date: Thu, 31 Jul 2014 18:42:12 -0300 > > > From: [email protected] > > > To: [email protected] > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > Amigo, boa noite! > > > Pelo visto vc tem algo errado na sua rede, algum cavalo de tróia ou > alguma > > > botnet ou algum serviço oculto em seus servidores.... > > > Como sugestão faça a captura do tráfego de rede, antes da LAN do > pfsense, > > > mas que concentre todo o tráfego de sua rede.... salve esse tráfego > como > > > .pcap use o tcpdump para isso e depois abra no wiresahrk e procure os > ips > > > que vc já sabe que são para os chineses.... quando abrir o pacote ip > você > > > saberá a origem (src) e o destino (dst) do pacote. > > > > > > > > > Em 31 de julho de 2014 13:45, <[email protected]> > > > escreveu: > > > > > > > Enviar submissões para a lista de discussão Pfsense-pt para > > > > [email protected] > > > > > > > > Para se cadastrar ou descadastrar via WWW, visite o endereço > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > ou, via email, envie uma mensagem com a palavra 'help' no assunto ou > > > > corpo da mensagem para > > > > [email protected] > > > > > > > > Você poderá entrar em contato com a pessoa que gerencia a lista pelo > > > > endereço > > > > [email protected] > > > > > > > > Quando responder, por favor edite sua linha Assunto assim ela será > > > > mais específica que "Re: Contents of Pfsense-pt digest..." > > > > > > > > > > > > Tópicos de Hoje: > > > > > > > > 1. Alto trafego de saida (Aker -) > > > > 2. Re: Alto trafego de saida (Jeimerson Chaves) > > > > 3. Re: Alto trafego de saida (Gabriel) > > > > 4. Re: Alto trafego de saida (Aker -) > > > > 5. Re: Alto trafego de saida (Aker -) > > > > 6. Re: Alto trafego de saida (ABNER ULIBERTO) > > > > 7. Re: Alto trafego de saida (Aker -) > > > > > > > > > > > > > ---------------------------------------------------------------------- > > > > > > > > Message: 1 > > > > Date: Thu, 31 Jul 2014 09:02:41 -0300 > > > > From: Aker - <[email protected]> > > > > To: "[email protected]" <[email protected]> > > > > Subject: [Pfsense-pt] Alto trafego de saida > > > > Message-ID: <[email protected]> > > > > Content-Type: text/plain; charset="iso-8859-1" > > > > > > > > Bom dia pessoal, minha primeira mensagem na lista com um > "probleminha" > > > > Tenho um pfsense 2.1.4- 32 BIts como firewall da rede ( rede pequena > de 10 > > > > maquinas), sem proxy. Acesso liberado. > > > > Tenho um link dedicado de 10 Mb. > > > > De uns dias pra ca tenho observado que a State table tem ficado > enorme, > > > > pelos graficos do RRD chega a 70 mil...100mil, notei tambem que o > trafego > > > > de saida nesses momentos chega a picos de 10 Mb ( normalmente nao > chega a 1 > > > > Mb), e nos graficos da LAN tao sempre entre 100 e 120 Mb..... Tem > alguma > > > > maquina com problema na rede....Mandando enxurrada de inforamção pra > fora. > > > > Coloquei o ntop e consegui pegar um alto numero de dados pra ips > > > > chineses....instalei o pfbloquer, selecionei todos chineses e reduziu > > > > significativamente....Mas mesmo asssim tem periodos com trafego de > saida > > > > alto para ips chineses ( mesmo com o pfbloquer ativo)... > > > > Isso gera um gargalo grande no firewall ( tenho uma openvpn para > acesso ao > > > > ts interno) quando ocorrem esses picos. > > > > Ja o trafego na lan esta sempre alto..... > > > > Como tenho ainda pouca familiaridade com o pfsense...preciso de > ajuda para: > > > > - Configurar o firewall de forma mais restrita ( atualmente tenho a > > > > famigerada regra liberando tudo na lan ativa), nao posso usar proxy > manual > > > > nem instalar certificados. Pois tem notes e tablets que conectam na > rede e > > > > precisam navegar sem nenhuma configuracao adicional. > > > > - Uma forma de identificar qual ip na rede interna esta gerando esse > > > > trafeco ( o ntop so me trouxe dados dos ips externos, mesmo rodando > na > > > > interface lan). > > > > > > > > Agradeço qualquer ajuda. > > > > Abs. > > > > Marcio S > > > > > > > > > > > > > > > > > > > > ------------------------------ > > > > > > > > Message: 2 > > > > Date: Thu, 31 Jul 2014 09:08:26 -0300 > > > > From: Jeimerson Chaves <[email protected]> > > > > To: Lista em Português sobre pfSense <[email protected]> > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > Message-ID: > > > > < > > > > cacs0dotohn8a5u_eodnugnaz_g_l7efbekv30moisoxgunz...@mail.gmail.com> > > > > Content-Type: text/plain; charset=UTF-8 > > > > > > > > Amigo, > > > > > > > > Pode ser torrent em seu servidor. > > > > Feche tudo, e abra apenas as portas: > > > > Liberar > > > > 80,443,110,25 TCP e 53 UDP > > > > Já vai fechar bastante e veja o que acontece. > > > > Estas Vc bloqueia ou Libera Todas TCP > > > > 2002 BLOQUEIO LOGMEIN > > > > 1863 BLOQUEIO MSN > > > > 5222 BLOQUEIO GTALK > > > > 5938 Bloqueio TeamViewer > > > > > > > > Boa Sorte > > > > > > > > > > > > Em 31 de julho de 2014 09:02, Aker - <[email protected]> escreveu: > > > > > > > > > Bom dia pessoal, minha primeira mensagem na lista com um > "probleminha" > > > > > Tenho um pfsense 2.1.4- 32 BIts como firewall da rede ( rede > pequena de > > > > 10 > > > > > maquinas), sem proxy. Acesso liberado. > > > > > Tenho um link dedicado de 10 Mb. > > > > > De uns dias pra ca tenho observado que a State table tem ficado > enorme, > > > > > pelos graficos do RRD chega a 70 mil...100mil, notei tambem que o > trafego > > > > > de saida nesses momentos chega a picos de 10 Mb ( normalmente nao > chega > > > > a 1 > > > > > Mb), e nos graficos da LAN tao sempre entre 100 e 120 Mb..... Tem > alguma > > > > > maquina com problema na rede....Mandando enxurrada de inforamção > pra > > > > fora. > > > > > Coloquei o ntop e consegui pegar um alto numero de dados pra ips > > > > > chineses....instalei o pfbloquer, selecionei todos chineses e > reduziu > > > > > significativamente....Mas mesmo asssim tem periodos com trafego de > saida > > > > > alto para ips chineses ( mesmo com o pfbloquer ativo)... > > > > > Isso gera um gargalo grande no firewall ( tenho uma openvpn para > acesso > > > > ao > > > > > ts interno) quando ocorrem esses picos. > > > > > Ja o trafego na lan esta sempre alto..... > > > > > Como tenho ainda pouca familiaridade com o pfsense...preciso de > ajuda > > > > para: > > > > > - Configurar o firewall de forma mais restrita ( atualmente tenho a > > > > > famigerada regra liberando tudo na lan ativa), nao posso usar proxy > > > > manual > > > > > nem instalar certificados. Pois tem notes e tablets que conectam > na rede > > > > e > > > > > precisam navegar sem nenhuma configuracao adicional. > > > > > - Uma forma de identificar qual ip na rede interna esta gerando > esse > > > > > trafeco ( o ntop so me trouxe dados dos ips externos, mesmo > rodando na > > > > > interface lan). > > > > > > > > > > Agradeço qualquer ajuda. > > > > > Abs. > > > > > Marcio S > > > > > > > > > > > > > > > > > > > > _______________________________________________ > > > > > Pfsense-pt mailing list > > > > > [email protected] > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > > ------------------------------ > > > > > > > > Message: 3 > > > > Date: Thu, 31 Jul 2014 09:12:05 -0300 > > > > From: Gabriel <[email protected]> > > > > To: pfsense-pt <[email protected]> > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > Message-ID: <[email protected]> > > > > Content-Type: text/plain; charset=iso-8859-1 > > > > > > > > Bom dia, > > > > > > > > Uma boa pedida já que está começando no pfsense e assistir os videos > > > > tutoriais do Luis gustavo. > > > > > > > > https://www.youtube.com/channel/UCGi66d0n5gHSLAli4Trr1Fw > > > > > > > > segue o link deles. > > > > > > > > uma ideia que pode seguir e criar um alias com os IPs a serem > bloqueado e > > > > criar uma regra no firewall. > > > > > > > > att, > > > > > > > > Gabriel > > > > > > > > Em 31/07/2014, à(s) 09:02, Aker - <[email protected]> escreveu: > > > > > > > > > Bom dia pessoal, minha primeira mensagem na lista com um > "probleminha" > > > > > Tenho um pfsense 2.1.4- 32 BIts como firewall da rede ( rede > pequena de > > > > 10 maquinas), sem proxy. Acesso liberado. > > > > > Tenho um link dedicado de 10 Mb. > > > > > De uns dias pra ca tenho observado que a State table tem ficado > enorme, > > > > pelos graficos do RRD chega a 70 mil...100mil, notei tambem que o > trafego > > > > de saida nesses momentos chega a picos de 10 Mb ( normalmente nao > chega a 1 > > > > Mb), e nos graficos da LAN tao sempre entre 100 e 120 Mb..... Tem > alguma > > > > maquina com problema na rede....Mandando enxurrada de inforamção pra > fora. > > > > > Coloquei o ntop e consegui pegar um alto numero de dados pra ips > > > > chineses....instalei o pfbloquer, selecionei todos chineses e reduziu > > > > significativamente....Mas mesmo asssim tem periodos com trafego de > saida > > > > alto para ips chineses ( mesmo com o pfbloquer ativo)... > > > > > Isso gera um gargalo grande no firewall ( tenho uma openvpn para > acesso > > > > ao ts interno) quando ocorrem esses picos. > > > > > Ja o trafego na lan esta sempre alto..... > > > > > Como tenho ainda pouca familiaridade com o pfsense...preciso de > ajuda > > > > para: > > > > > - Configurar o firewall de forma mais restrita ( atualmente tenho a > > > > famigerada regra liberando tudo na lan ativa), nao posso usar proxy > manual > > > > nem instalar certificados. Pois tem notes e tablets que conectam na > rede e > > > > precisam navegar sem nenhuma configuracao adicional. > > > > > - Uma forma de identificar qual ip na rede interna esta gerando > esse > > > > trafeco ( o ntop so me trouxe dados dos ips externos, mesmo rodando > na > > > > interface lan). > > > > > > > > > > Agradeço qualquer ajuda. > > > > > Abs. > > > > > Marcio S > > > > > > > > > > > > > > > > > > > > _______________________________________________ > > > > > Pfsense-pt mailing list > > > > > [email protected] > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > ------------------------------ > > > > > > > > Message: 4 > > > > Date: Thu, 31 Jul 2014 10:43:58 -0300 > > > > From: Aker - <[email protected]> > > > > To: Lista em Português sobre pfSense <[email protected]> > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > Message-ID: <[email protected]> > > > > Content-Type: text/plain; charset="iso-8859-1" > > > > > > > > Obrigado Jeimerson pelas dicas.....Vou liberar essas portas ( > > > > logmein,msn,teamviewer tambem preciso deixar liberadas) e desativar > a regra > > > > que libera tudo. > > > > Estive vendo e mesmo de noite ocorreu esse problema....quando tinha > so > > > > meus dois servidores ( ad e e de dados, ambos windows 2013 > virtualizados), > > > > o dvr das cameras e o roteaor wifi conectados na rede.....Acredito > que > > > > algum dos servidores seja o problema. Procurei por clientes torrente > mas > > > > nao tem instalados neles....Vou pedir a pessoa responsavel fazer uma > > > > varredura neles ( ja vi que nao tem soft antivirus e o firewall > deles esta > > > > desativado) > > > > > > > > > Date: Thu, 31 Jul 2014 09:08:26 -0300 > > > > > From: [email protected] > > > > > To: [email protected] > > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > > > > > Amigo, > > > > > > > > > > Pode ser torrent em seu servidor. > > > > > Feche tudo, e abra apenas as portas: > > > > > Liberar > > > > > 80,443,110,25 TCP e 53 UDP > > > > > Já vai fechar bastante e veja o que acontece. > > > > > Estas Vc bloqueia ou Libera Todas TCP > > > > > 2002 BLOQUEIO LOGMEIN > > > > > 1863 BLOQUEIO MSN > > > > > 5222 BLOQUEIO GTALK > > > > > 5938 Bloqueio TeamViewer > > > > > > > > > > Boa Sorte > > > > > > > > > > > > > > > > > > > > _______________________________________________ > > Pfsense-pt mailing list > > [email protected] > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > -- .................................................................. Atenciosamente Victor França Analista de Suporte EW Informática Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. +55 21 93203 - 0368 (Opção 5) +55 21 99936 - 7575 (VIVO) e-mail: [email protected] GTalk: [email protected] _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
