Geister Traffic

Seite 1 von 2 - Forum: Netzwerktechnik auf overclockers.at

URL: https://www.overclockers.at/netzwerktechnik/geister_traffic_54476/page_1 - zur Vollversion wechseln!

FIREBIRD schrieb am 08.11.2002 um 15:12

Situation:

firewall: Clarkconnect auf RedHat basis
Connection: CABLE

Han das din gerade vor nem tag neugestartet!
jetzt ist es einen tag testgelaufen
ETH0(extern): RX: 76,7MB TX: 3,2MB
ETH1(intern): RX: 4,7MB TX: 47,2MB

wo sind die 25MB differenz hin????
auf der firewall lauft nur der squid proxy!
nach außen sind alle ports geschlossen!

auf den client wurde ein kleines bischen gesurft und icq lief hald.

FIREBIRD schrieb am 08.11.2002 um 16:20

so jetzt hätt ich gerade noch ne zusatzfrage:
wie kann ich meine eth0 karte im "stealth" mode betreiben?
damit die karte icmp ping packets dropt!
kann ich dan trotzden noch nen webserver oder ftpserver betreiben?

Silvasurfer schrieb am 08.11.2002 um 17:18

das ist eben der protokoll overhead

damit musst du leben

jb schrieb am 08.11.2002 um 17:46

25MB kommt mir aber auch etwas viel vor. Is sicher sonst nichts gelaufen? Versuch mal einen Tag ohne irgendwas zu machen (auch wenns schwer fällt :rolleyes: )

Ringding schrieb am 08.11.2002 um 17:53

Sicher kannst mit ipchains oder iptables alles mögliche blocken.

Hängst du bei kabsi dran? Da gibt's massenweise ARP Requests, die kommen andauernd rein und verursachen sicher auch nicht wenig Traffic.

Na gut, kabsi gibt's in Vlbg nicht, aber vielleicht ist das ja bei dem Provider genauso.

MorticiaN schrieb am 08.11.2002 um 17:56

aber nicht 25MB bei 75MB des wärn 33% overhead, wenn das so wär, na herrschaftzeiten.

Ringding schrieb am 08.11.2002 um 17:56

Die ARP Requests kommen ja unabhängig vom anderen Traffic. Zu Stoßzeiten kommen da ca. 30/sec

FIREBIRD schrieb am 08.11.2002 um 19:04

also provider: teleport
wenn arp requests kummen müsse mein rechner ja auch drauf antworten, aber in senderichtung hab ich keinen overhead!!!!!

Ecraft schrieb am 08.11.2002 um 20:10

Vielleicht hat die Zählroutine einfach nur einen Bug?

Knox schrieb am 08.11.2002 um 20:52

vielleicht bekommst von drausen herein vielmehr beschädigte packete, die dann neu angefordert werden müssen...

Murph schrieb am 08.11.2002 um 23:27

Zitat von Knox
vielleicht bekommst von drausen herein vielmehr beschädigte packete, die dann neu angefordert werden müssen...

dH 33% choke? scheint ein bisserl sehr viel... müsst schon sehr low quali connection sein. 33 ch hab ich nichtmal zu ärgeren chello zeiten ghabt.. da war max 20.. dafür loss 80

Knox schrieb am 09.11.2002 um 00:10

Zitat von ][Murph][
dH 33% choke? scheint ein bisserl sehr viel... müsst schon sehr low quali connection sein. 33 ch hab ich nichtmal zu ärgeren chello zeiten ghabt.. da war max 20.. dafür loss 80

is schon viel, aber wäre vielleicht möglich? maus im kabel

man könnte ja alle packete mitprotokollieren und schaun, was vorne rein kommt und hinten raus geht...

Murph schrieb am 09.11.2002 um 00:12

Zitat von Knox
is schon viel, aber wäre vielleicht möglich? maus im kabel

man könnte ja alle packete mitprotokollieren und schaun, was vorne rein kommt und hinten raus geht...

und sowas nennt man dann Verdauung?

spaß beiseite..

Simples IP-Log wär dafür glaub ich schon ausreichend - auf die die am öftesten kommen mal dann am wochenende mal durch die ripe whois-db jagen und schaun was was war.

Ringding schrieb am 09.11.2002 um 00:21

Nochmal zu den ARP Requests: Der Rechner muss nicht darauf antworten, weil da immer nach irgendwelchen anderen IP Adressen gefragt wird, aber nicht nach deiner eigenen.

FIREBIRD schrieb am 09.11.2002 um 02:15

zum thema choke:
laut ifconfig
RX packets: 139xxxx errors: 0 dropped: 0 overruns: 0 frame: 0

Das mit dem Arp request könnte ich mir eher vorstellen!
die eth0 ip bekomme ich vom cable modem per dhcp!
und dhcp ischt auf die mac von eth0 gelockt!
könnts daran liegen?
wie kann ich das nachprüfen?