Утечка трафика по ночам

[Tycoon]

День добрый, лимитированный трафик, по ночам большая утечка трафика происходит, бывает пару дней нормально и потом опять утечка. Прошивка 6.49.8. Я понимаю что тема старая и в интернете полно инфы о том, что это происходит из за dns flood, добавил правила чтоб пресечь но ситуация не изменилась. Подскажите пожалуйста что я делаю не правильно. Конфиг простой, добавлен только адрес лист для доступа в интернет, vpn серверов нет.

set allow-remote-requests=no не помогает.

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=\
router.lan

/ip firewall filter
add action=log chain=output log=yes \
out-interface-list=WAN protocol=udp src-port=53

add action=drop chain=input dst-port=53 \
in-interface-list=WAN protocol=udp

add action=drop chain=input dst-port=53 \
in-interface-list=WAN protocol=tcp

add action=accept chain=input comment=\
"defconf: accept established,related,untracked" \
connection-state=established,related,untracked

add action=drop chain=input comment=\
"defconf: drop invalid" connection-state=invalid

add action=drop chain=input comment=\
"defconf: drop all not coming from LAN" \
in-interface-list=!LAN

add action=fasttrack-connection chain=forward \
comment="defconf: fasttrack" connection-state=\
established,related disabled=yes

add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" \
connection-state=established,related,untracked

add action=drop chain=forward comment=\
"defconf: drop invalid" connection-state=invalid

add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new \
in-interface=bridge src-address-list=!internet

add action=drop chain=output dst-address-list=!dns \
out-interface-list=WAN protocol=udp src-port=53

[Chupaka]

Приветствую.

Ну, раз set allow-remote-requests=no не помогает - видимо, dns amplification тут ни при чём

Graphing вы не включали? Посмотреть, при появлении трафика на внешке не появляется ли синхронный трафик на LAN-интерфейсах.

Знаете ли, в какую сторону утечка (входящий/исходящий/какой превосходит)?

[Tycoon]

Graphing не включал, в какую сторону утечка тоже не понятно, только ночью всё происходит не знаю как промониторить. Все кто сидит на этом микротике заведены в queue и они по статистике столько не потребляют, сколько уходит. Вообще впервые у меня такая проблема, куда ещё копать не знаю, на другом роутере, другой фирмы такой проблемы не было

[Chupaka]

Включите.
Где вы видите утечку?

[Tycoon]

Хорошо включу. В личном кабинете, детализацию делал, за ночь на ip гугл сервисов трафик утекает и это не пользователи, у них у всех ограничения и статистика видна в queue.

[Chupaka]

Т.е. от роутера идёт исходящий трафик в сторону Гугла?

[Tycoon]

Да

[Chupaka]

47.246.2.0/24 - это ж, вроде, Alibaba Cloud? Или это ваши адреса? А какую информацию замазали?

UPD: последний адрес - Телеграм, так что определённо это не ваши адреса. Т.е. всё же роутер получает от этих адресов данные, а не отсылает им.

Это объёмы (десятки гигабайт) за одну ночь?..

[Tycoon]

Да Алибаба или что то ещё. Замазал столбец с нашим белым ip. Да за ночь. Все ip зарезервированы, подписаны и прописаны в queue, если это чей то телефон то почему этот трафик не отображается в статистике. Лимит в день до 2гигов стоит за всех.

[Chupaka]

Graphing на интерфейсы настроили?

Можно ещё добавить какую-нибудь общую Queue внизу для трафика, который в предыдущие не попал