Bandwidth Usage completely wrong?

m4ntic0r, the only malware I've gotten in the last ten years was when I clicked on an external link here.  Please edit your post, click on [Go Advanced] and attach your pictures to the post.

Cheers - Bob

m4ntic0r, the only malware I've gotten in the last ten years was when I clicked on an external link here.  Please edit your post, click on [Go Advanced] and attach your pictures to the post.  Cheers - Bob

  These are direkt links to pictures.. Paranoid?  I have the Problem that all the unclassified Traffic is not counted [:(]  Today i transfered 5-6gb and i only see 200mb from other services on this machine..

Here is the unclassified connection. its always this udp port, but its not counted..

I tried to define (service definition) the traffic, but it is still not counted. Is there a way to make the transfer visible in network usage?

A firewall is pointless if I can not see all the traffic ..

Hi,
what settings are you using?
Do have logging enabled on packet filters?
What does you daily report show?
What do the various tabs on the webmin show as usage?

Ian

Hi,

- On all firewall rules, Log Traffic is enabled.
   (2 Rules:   Internal -> Any -> Any
                    MyServers -> Any -> External (Address)

- Daily Report is not showing me the traffic
   Network Usage: Traffic processed:    (too low)

- Various Tabs?
   The "In and Out" bars on Dashboard show 4-5mbit, thats ok, an in the flow monitor i can see the unclassified traffic.

- If i go to Logging & Reporting, Network Usage, Bandwidth Usage and go for "Top Applications" and "Yesterday" there is unclassified traffic, but only 278,7MB. Yesterday there was 5-6GB Traffic

- I checked an other physical machine today. this machine made min. 284mb traffic from wan (from 08:04-08.16am). if i go to bandwidth usage is see 667.8 kB.

These are direkt links to pictures.. Paranoid?  I have the Problem that all the unclassified Traffic is not counted [:(]  Today i transfered 5-6gb and i only see 200mb from other services on this machine..

Hi m4ntic0r,
if you mean "Internet", please use the definition "Internet IPv4" and delete all other entrys (ANY, Interface...)
Your only rule, that works is: 

Internal (Network) - ANY - ANY

change it like this:
Internal (Network) - ANY - Internet IPv4


Bandwidth Usage completely wrong?
- Attention, there are Mbps and MByte!

Unclassified traffic, please, enable your application controle.
This is the most common solution for unclassified traffic [;)]

Nice greetings

Hi m4ntic0r,
if you mean "Internet", please use the definition "Internet IPv4" and delete all other entrys (ANY, Interface...)
Your only rule, that works is: 

Internal (Network) - ANY - ANY

change it like this:
Internal (Network) - ANY - Internet IPv4


Bandwidth Usage completely wrong?
- Attention, there are Mbps and MByte!

Unclassified traffic, please, enable your application controle.
This is the most common solution for unclassified traffic [;)]

Nice greetings

- Application Control is "on".
- Mbps and MByte.. yesterday i transfered files of 5-6GB size. I i only see 278,7MB in the Firewall. So whats the point here of Mbps and MByte?

It´s unclassified, because BTsync Application is not supported, but why is the traffic not shows as unclassified? Thats my question.

Just because you're paranoid doesn't mean they aren't out to get you! [;)] : http://eicar.teched.net/redirect/image.jpg

Cheers - Bob
PS Thanks for that link, teched.

Overall how do the packet length sums in the reporting database data look?  (afc_proto 60 is listed as bittorrent and 0 is unclassified)

psql reporting -U reporting -c "SELECT afc_proto, cast(SUM(raw_in_pktlen) AS bigint) AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) AS combined_total_pktlen FROM accounting WHERE logday:[:D]ate = '2014-07-22' GROUP BY afc_proto ORDER BY afc_proto;"

Just the unclassified:

 psql reporting -U reporting -c "SELECT SUM(raw_in_pktlen), SUM(raw_out_pktlen) FROM accounting WHERE logday:[:D]ate = '2014-07-22' AND afc_proto = 0;"

"Raw" data for UDP port 25646:

psql reporting -U reporting -c "SELECT * FROM accounting WHERE logday:[:D]ate = '2014-07-22' AND ip_protocol = 17 AND l4_dport = 25646;"

Review historical daily totals (in megabytes)

psql reporting -U reporting -c "SELECT logday:[:D]ate, cast(SUM(raw_in_pktlen) AS bigint) /1048576 AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) /1048576 AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) /1048576 AS combined_total_pktlen FROM accounting GROUP BY logday ORDER BY logday desc;"

Adjust commands for date as needed.

The above will help to confirm that the classifier is seeing the traffic and data it is making it to the reporting database.

@teched
Nice! Thanks, these are the commands I was looking for (long time ago [;)] ).

Nice greetings