Exploding Traffic

[ QUOTE ]
Help! Whats going wron, i just called my Provider and they told me, that i produced  54 gb of traffic last week. Normaly we produce 5 gb in a whole month. my traffic is showen in the network-report whith 400 k inbound an 402 k outbound AVERAGE! ...nerver under 150. Even from 6 pm to 8 am, wehen nobody is at work and nobody uses any internet connections. PLEASE HELP!! 

[/ QUOTE ]

Almost every time we've seen this the cause has been one or more computers inside the network that's infected with some form of spyware or a virus or worm.  An accounting report may help, but depending on the size, topology, and operating systems on your internal network you may be well-served to start doing internal sweeps for spyware, etc.

-Steve

ok, i´m checking all machines. i just watched tcpdump a while and got hundrets of ServFail (45). I deleted the dns-proxy forwarder an now everything seems to work fine. my inbound and outbound on eth0 is now heading to 0. could the dns proxy setting produce such al lot of traffic?

[ QUOTE ]
ok, i´m checking all machines. i just watched tcpdump a while and got hundrets of ServFail (45). I deleted the dns-proxy forwarder an now everything seems to work fine. my inbound and outbound on eth0 is now heading to 0. could the dns proxy setting produce such al lot of traffic? 

[/ QUOTE ]

I've seen some weirdness when the DNS Proxy can't resolve correctly, usually due to the target DNS server being unavailable somehow or suffering performance problems.  If you deleted the forwarder, what you're doing is resolving to the Internet root servers, which is perfectly fine and often preferred if your ISP's DNS servers are troublesome.  We often end up doing that for customers who use Worldcom, because the Worldcom DNS servers are bad news (here on the U.S. East Coast, anyway).  So, I definitely wouldn't rule out DNS troubles as a potential culprit here.

Never a dull day, eh?

-Steve

I've had major traffic issues when my internal Windows DNS server has been set to look at ASL's proxy for name resolutions it can't find.  Unsure why, but one weekend I did this and maxed my 2mbit connect for the whole weekend costing us about $1200

Cruton, is your provider able to give you some info or stats about the traffic - http, ftp, smtp, whatever .. ?

I have got the stats out of my Astaro and it showed 27 GB DNS outbound and 22 GB DNS inbound for August!!! After stopping the callout funciton of the smtp proxy everything is normal now. Our provider seems to have problems to resolve several domains ending up in ServFail. Astaro is not able to stop asking for such domains after a adjustable number of retries. So this is a problem of astaro too. If this is not going to be fixed one cannot use the callout function of the smtp proxy because it may cost lots of money.

You sure that's the issue?  I had same thing happen but it was traffic from internal DNS server -> ASL DNS Proxy -> ISP DNS (And back)

DNS Proxy is still turned on and it is not causing any trouble. It ist absolutely clear that the smtp-proxy caused the problem. 
I talked to Astaro about the details of the problem. The last message was "send your complaints to the distributor of the software". They should solve the problem. I cannont understand what this detour should be good for.

DNS Proxy is still turned on and it is not causing any trouble. It ist absolutely clear that the smtp-proxy caused the problem. 
I talked to Astaro about the details of the problem. The last message was "send your complaints to the distributor of the software". They should solve the problem. I cannont understand what this detour should be good for.

We finally got the problem under control. It is not the callout function. If you enabled your dns-proxy its ok, our problem were the "dns-forwarding name servers". we now leave this field emptry, smtp callouts are turned on. after two servfails asl doesen´t send a callout anymore. i can´t explain why there is a bug, but now it works.

interesting i also got the same problem as Simon here.
Windows DNS hammering wherever they could, ASL configured as sole forwarder killed the CPU(that's why i discovered the problem, the CPU queue was near 3 all the time), in DNS graph i showed 27K requests/s(and a LOT of traffic).
And then i got a call from the ISP to inquire about the fact since we where using 25% of their total DNs requests.
If i disabled the ASL forwarder, the packet filter skyrocketed with DNS requests......  [:(]
According to the ISP ALL queries where for one domain, apparently, exchange trying to send an NDR...

i have 3 forwarders in the DNS proxy(two ISP, one internal), i'll reduce that to 2 to check it out

kick the internal and averything will be allright!

i can't remove th einternal DNS from the forwarders list because i wouldn't be able to resolve internal hostnames

We just set the internal clients to use the internal dns servers, and the internal DNS servers to use the ASL as a forwarding DNS server.

For web browsers, just setup so that browser so that it doesn't use the proxy for the internal domain names and IP ranges. You can even do this at the domain level using a group policy.

It sounds like you are doing it the wrong way around unless I didn't understand you [:)]

indeed you misunderstood me, i have it all set that way(mostly).

i'm talking about ASL not being able to resolve internal hostnames, since in my network definitions i use internal hostnames(i can't and won't use addresses due to DHCP), and unless i add the internal server as forwarder in the ASL proxy then ASL doesn't resolves the hostname