Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3304 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Why are some of my top clients NOT inside my network?

Coder68
Four questions:

1. Can someone please explain why am I seeing external sources as Clients in my bandwidth usage report?

I am thinking client -- one of my PC's, tablets, or phones.  My external WAN stuff  makes sense... dns, POP3, NTP, SMTP, BOOTPS (My dynamic WAN IP is my guess) and HTTP/S with it being the proxy. (If I am understanding this correctly.) I am not sure what it means by Domain since I do not host any website.      


This thread was automatically locked due to age.
Parents
  • 0
    1) Take a look at the accounting database. 
     psql reporting -U reporting -c "SELECT srcip, cast(SUM(flow_count) AS bigint) AS Conn, cast(SUM(raw_in_pktlen) AS bigint) AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) AS combined_total_pktlen FROM accounting WHERE logday:[:D]ate = '2015-08-30' GROUP BY srcip ORDER BY combined_total_pktlen DESC, srcip;"


    I suspect the external addresses are in the accounting database as source IPs.  Further details can be extracted from the database to determine what that traffic might have been.

    3) NXDOMAIN was the result of the reverse lookup attempt.  (example results vary depending on network)  
    dig -x 192.168.254.1

    dig -x 192.0.2.1


    4) Create the appropriate DNS entries.
Reply
  • 0
    1) Take a look at the accounting database. 
     psql reporting -U reporting -c "SELECT srcip, cast(SUM(flow_count) AS bigint) AS Conn, cast(SUM(raw_in_pktlen) AS bigint) AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) AS combined_total_pktlen FROM accounting WHERE logday:[:D]ate = '2015-08-30' GROUP BY srcip ORDER BY combined_total_pktlen DESC, srcip;"


    I suspect the external addresses are in the accounting database as source IPs.  Further details can be extracted from the database to determine what that traffic might have been.

    3) NXDOMAIN was the result of the reverse lookup attempt.  (example results vary depending on network)  
    dig -x 192.168.254.1

    dig -x 192.0.2.1


    4) Create the appropriate DNS entries.
Children
No Data
Unfiltered HTML