Не понятно откуда трафик

[maniackiller]

Народ помогите внести ясность в сложившуюся ситуацию.
Существует сеть. В качестве бордера выступает FreeBSD(раньше стояла Cisco, но из-за глюков пришлось ее снять).

Код: Выделить всё

uname -a
FreeBSD gateway-bord 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Wed Apr  1 14:35:51 YEKST 2009     root@gateway-bord:/usr/obj/usr/src/sys/gateway  i386

У бордера есть 2-а интерфейса:
На первом rl0:

Код: Выделить всё

flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:13:10:0b:a3:d0
        inet 24.115.10.12 netmask 0xfffffffc broadcast 24.115.10.13
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active 

Данный интерфейс служит для соединения с аплинком. Для этого поднята quagga. Взаимодействие осуществляется по протоколу BGP.

На втором rl1:

Код: Выделить всё

flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:13:10:0b:a3:d1
        inet 143.220.40.1 netmask 0xffffff00 broadcast 143.220.40.255
        inet 143.220.50.1 netmask 0xffffff00 broadcast 143.220.50.255
        inet 143.220.60.1 netmask 0xffffff00 broadcast 143.220.60.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

висят клиентские подсети, из этих подсетей выдаются IP-шники клиентам.

Подсчет трафика ведется с бордера по нетфлоу. Для этого ядро было собрано с опциями для NETGRAPH. Вот сама схема:

Код: Выделить всё

!/bin/sh

        /usr/sbin/ngctl mkpeer rl1: tee lower left
        /usr/sbin/ngctl connect rl1: rl1:lower upper right
        /usr/sbin/ngctl mkpeer rl1:lower one2many left2right many0
        /usr/sbin/ngctl connect rl1:lower.left2right rl1:lower many1 right2left
        /usr/sbin/ngctl name rl1:lower.right2left o2m
        /usr/sbin/ngctl mkpeer o2m: netflow one iface0
        /usr/sbin/ngctl name o2m:one netflow
        /usr/sbin/ngctl mkpeer netflow: hub export one
        /usr/sbin/ngctl name netflow:export netflow0
        /usr/sbin/ngctl mkpeer netflow0: ksocket two inet/dgram/udp
        /usr/sbin/ngctl msg netflow0:two connect inet/(IPбиллинга):9995

Т.е. нетфлоу снимается с интерфейса rl1, где висят клиентские подсети.

И вот в чем непонятки. На клиентский ip каждый день приходит от 5 до 7 Мбайт. Т.е. за сутки набегает столько. Этим ip адресом уже никто не пользуется. А трафик все равно идет. В чем может быть проблема? Может неправильно настроен NETGRAPH или еще что? Объясните плиз.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Nebelwerfer]

На клиентский ip каждый день приходит от 5 до 7 Мбайт. Т.е. за сутки набегает столько. Этим ip адресом уже никто не пользуется. А трафик все равно идет. В чем может быть проблема?

Анализ вывода

Код: Выделить всё

# tcpdump -pli rl1 | grep .255

может спасти отца русской демократии . Машины с виндусами очень любят гадить в сеть со 137 и прочих интересных портов broadcast-запросами.