Pessoal, nos ultimos dias venho tendo sérios problemas com um unico cliente, que basta ele ligar o computador que ele suga o link inteiro, e o que é pior, sem nem sequer ser marcado o trafego no mikrotik.
Ainda não entrei em contato com o próprio cliente para saber se está com algum tipo de infecção por virus ou coisa parecida involuntariamente no seu PC, pois sempre existe a possibilidade de ser algum tipo de tentativa do cliente em fraudar o controle de banda, mas o fato é que o plano dele marcado no queue e MK auth, deveria ser de 512k de up e 1024k de down, mas acontece que na queue quando ele esta ligado fica marcando 300k de consumo de up e 700k de consumo de down, e dando um torch, surge o seguinte ip no cliente como sendo a fonte da conexão deste cliente: 68.142.101.254
Tive que verificar cliente por cliente para ter certeza que apenas o cliente mensionado usava esse serviço (seja lá qual for) que vem da fonte no ip descrito. Aí se faço um torch na interface do link, aparece este ip (68.142.101.254) consumindo os 20mbps que tenho de link dedicado e pela porta 80.
Por hora, o que acabei de fazer foi criar uma regra de drop de tudo que vier neste IP para tentar descobrir maiores detalhes sobre causas, e por enquanto parece que funcionou, pois em plena madrugada o consumo do link que estava topado nos 20mbps despencou para menos de 03 (normal para essa hora).
Buscando um "who is" deste ip só encontro que ele tem origem nos USA e o nome do provedor que o domina.
Fica a dica para os colegas aqui do forum darem uma boa monitorada em suas redes, e também o pedido de ajuda dos mais experientes se puderem contribuir em alguma coisa com este meu problema.
Desde já, meu muito obrigado.
Respostas
faz um forward / dst address 68.142.101.7 / action drop
faz um forward / dst address 68.142.101.254 / action drop
E tenha um noite e um dia fez....
Meus amigo, ambos ip sao da porcaria do Psafe. Que fica atualizando 24hr/7d quer ver o estrago ser maior ainda caso vc use cache
Lhes recomendo da drop em ambos.
Creditos ao user Roberto21 do under-linux
https://under-linux.org/showthread.php?t=162967
tenta reparar esse cliente, depois clica no link informações abaixo do nome do cliente e ver se aparece o nome do plano dele corretamente...
Jeferson, não sei o serviço que roda nele, mas o que realmente me preocupa é saber porque o trafego dele não é limitado e como corrigir.
Depois que fiz a regra para dropar tudo que vem deste IP, o problema parou de aoncetecer, mas como é um serviço na porta 80, seja lá o que for, se mudar O ip da fonte eu fico na mão novamente.
Gostaria de saber se alguém aqui passou por coisa parecida e se tem uma solução para o problema que vá além do bloqueio de IPs?
Obrigado, T+
jeferson luiz rosa disse:
Riberto esse ip não tem tipo de serviço tipo surfproxy ?
não lembro que foi aqui, mais uma vez postei umas ranges de ip usadas por esse serviço "Surfproxy".