Автор Тема: Утечка исходящего трафика  (Прочитано 9781 раз)

Оффлайн maestro

  • Завсегдатай
  • *
  • Сообщений: 270
    • Email
Дистрибутив Альт Линукс 7 Школьный 64 бита. Последнее время при работе компьютера происходит утечка исходящего трафика. По 30Гб и более в сутки улетает.  Использовал iptraf и выяснил, что утечка идет по порту 5353 на адрес 204.0.0.251.
Интернет говорит, что это мультикаст DNS. Кто сталкивался с подобным? И как бороться?
На шлюзе прописал запрещающее правило для UDP и этого порта, но что-то не помогает...
Скриншоты прилагаю.

Оффлайн maestro

  • Завсегдатай
  • *
  • Сообщений: 270
    • Email
Re: Утечка исходящего трафика
« Ответ #1 : 07.11.2018 11:59:58 »
Выяснил еще, что трафик, возможно, генерирует Avahi.  Если его удалить, какие проблемы можно ожидать? Система не будет находить сетевые принтеры и т.д.?

mvk

  • Гость
Re: Утечка исходящего трафика
« Ответ #2 : 07.11.2018 13:13:25 »
возможно, генерирует Avahi
30Гб? Аналогичный вопрос: пару лет назад наблюдал картину как Synaptic при запуске куда-то долбился, хотя я не нажимал "Получить сведения" - чо это было? :-o

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
Re: Утечка исходящего трафика
« Ответ #3 : 07.11.2018 13:17:59 »
У вас провайдер считает multicast? Надо на внешнем интрфейсе его в DROP в iptables.

204.0.0.251 это вообще-то не multicast (а где-то в США такой хост есть), должно быть 224.0.0.0/4.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: Утечка исходящего трафика
« Ответ #4 : 07.11.2018 19:45:26 »
Выяснил еще, что трафик, возможно, генерирует Avahi.

Попробуйте установить nethogs и посмотреть, какой процесс генерирует этот трафик.

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Утечка исходящего трафика
« Ответ #5 : 08.11.2018 02:10:15 »
# netstat -luntap | egrep ^udp | grep 5353
# ss -4nap | egrep ^udp | grep 5353

P.S.: первый вариант legacy, второй более правильный.
« Последнее редактирование: 08.11.2018 02:16:23 от klark973 »
To moan or to solve -- that is the question!

Оффлайн maestro

  • Завсегдатай
  • *
  • Сообщений: 270
    • Email
Re: Утечка исходящего трафика
« Ответ #6 : 10.11.2018 06:36:29 »
Ограничил доступ Авахи на интерфейсе

Для ограничения работы avahi-daemon только на одном сетевом устройстве
в файл /etc/avahi/avahi-daemon.conf добавляются строки
  [server]
  allow-interfaces=eth0
  deny-interfaces=eth1

Больше нет трафика.

Оффлайн maestro

  • Завсегдатай
  • *
  • Сообщений: 270
    • Email
Re: Утечка исходящего трафика
« Ответ #7 : 10.11.2018 06:37:27 »
У вас провайдер считает multicast? Надо на внешнем интрфейсе его в DROP в iptables.

204.0.0.251 это вообще-то не multicast (а где-то в США такой хост есть), должно быть 224.0.0.0/4.

Провайдер не считает. Но канал у нас 1мб/c. Забивается.