левый трафик FreeBSD

[astrad]

откуда-то с инета с 80-го порта идет трафик на мой внешний интерфейс, забивая весь мой полезный трафик. я конешно эти адреса забанил и все стало хорошо. Но остался неприятный осадок. потому как на внешний интерфейс трафик заходит, а вот на внутрений не выходит (ну или я не могу засечь когда). а должно. машинка чисто как шлюз работает. там акромя антивирусного апдейта с 80--го порта никакого трафика больше не должно быть собственного.
так вот вопрос:чем и как можно посмотреть кто(какая программа) тянет трафик через интерфейс? ОС FreeBSD.

[spl]

trafshow?

[gangrena]

trafshow

[astrad]

как trafshow можно посмотреть какая софтина трафик использует?
трафшоу только фиксирует трафик. а кому он предназначен не видно.

тут народ netstat предлагает использовать..... но пока не разобрался как.

[Hedgehog in the fog]

lsof -i

[spl]

как trafshow можно посмотреть какая софтина трафик использует?
трафшоу только фиксирует трафик. а кому он предназначен не видно.

тут народ netstat предлагает использовать..... но пока не разобрался как.

трафшов показывает порт и айпи

потом нетстат

freebsd# netstat
Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 52 freebsd.local..ssh 192.168.0.241.15391 ESTABLISHED
tcp4 0 0 freebsd.local..netbios 192.168.0.3.2336 ESTABLISHED
udp4 0 0 freebsd.netbios-dgm *.*
udp4 0 0 freebsd.netbios-ns *.*
udp4 0 0 freebsd.local..netbios *.*
udp4 0 0 freebsd.local..netbios *.*
udp4 0 0 localhost.domain *.*
udp4 0 0 freebsd.local..domain *.*

[gangrena]

как trafshow можно посмотреть какая софтина трафик использует?
трафшоу только фиксирует трафик. а кому он предназначен не видно.

тут народ netstat предлагает использовать..... но пока не разобрался как.

Вы так далеко не уйдете
Есть масса способов организовать на вас трафик на любой порт. Пакеты будут валить а с вашей стороны не будет слушателя.
Поэтому пишите конкретней - у вас просто сервер стоит или шлюз какой-нить. Давно у вас этот IP ?
У меня когда-то сервак стоял - выдали мне IP который был прописан у какого-то новостного сайта. Так трафик валил такой - шо караул.

[spl]

машинка чисто как шлюз работает.
в первом псто

[BlackPhantom]

мне tcptrack больше нравится, чем трафшоу
ну то такое, дело вкуса )

[BlackPhantom]

lsof -i

а sockstat или fstat уже не модно ?

[astrad]

sockstat -p 80 -4 помогло
виновника нашел теперь вопрос почему?
трафик подымала антивирусная прокся havp судя по всему.
но в логах сквида (через которого все юзера работают) небыло ни у кого сумашедших каких-то загрузок
есть подозрение что хавпом не только сквид но еще и кто-то присоседевшийся пользовался (он слушал все интерфейсы ==> мог кто угодно с инета присоседится). но тогда почему небыло сумашедшего трафика в инет?

[BlackPhantom]

как-то у вас все запущено, и сквид и havp, и смотрят еще во внешнюю сеть.... как минимум повесьте чтоб только локальный интерфейс слушался.

[astrad]

как-то у вас все запущено, и сквид и havp, и смотрят еще во внешнюю сеть.... как минимум повесьте чтоб только локальный интерфейс слушался.

та то де-то гаву впоймал. сквид и так слушает только внешний интерфейс. а с хавпом поправил.
а 2-е прокси.....
хавп слишком простой для моих потребностей в администрировании
а сквид сам по себе на вирусы не умеет проверять (во всяком случае я не в курсе как).
вот и гоняю юзеров через сквид, а сквид уже через хавп в инет лезет.

[Hedgehog in the fog]

а sockstat или fstat уже не модно ?

Да хоть вручную через proc, а разница? )

[BlackPhantom]

та то де-то гаву впоймал. сквид и так слушает только внешний интерфейс.

а должен только внутренний

а сквид сам по себе на вирусы не умеет проверять (во всяком случае я не в курсе как).

кури c-icap