Мне тоже все ето очень интересно - фаервол с доки, вообще без изменений, так же как и nofire.
если фаервол с доки (там где трафик снимается не с интерфейса, а посылается с помощью divert или netgraph), то в него включена защита от таких ситуаций.
Ранее, да, были такие проблемы:
1) после блокирования исходящего трафика, нат еще мог долго принимать и транслировать входящий. Такое свойство ната, который считает, что соединение должно жить какое-то определенное время пока на него идут пакеты. Этим пользовались вирусы - сыпали на клиента трафик, а клиент не мог закрыть соединение, поскольку от него было все заблокировано, т.е. послать RST для закрытия tcp-сессии он не мог. Вариант борьбы с этим: вместо deny в ipfw ставить reject.
2) трафик на белый ip с инета идет регулярно - это всевозможные сканирования, вирусы и т.д.
Текущий фаер от этого защищен - если клиент заблокирован, то трафик в коллектор не попадает!
Следовательно, если клиенту начислен трафик, то доступ в фаере в данный момент был открыт. Если начислило немного - возможно просто инерционность системы, ведь процессы не происходят мгновенно: ядро снимает показания трафика периодами, потом информацию обновляет noserver, т.е. проходит какое-то небольшое время, обычно удовлетворительное. Тут ничего не поделаешь - чудес не бывает, отрубить клиента в доли секунды как он переработал трафик, на скоростях до 10 Мб/сек - невозможно.
Если переработка трафика значительная, то тут надо уже думать/вычислять. Сообщите какие коллекторы используете (ipcad/netflow) и как они настроены (снимают трафик с интерфейса/divert/netgraph).
Если вы зафиксировали, что клиенту доступ по админке запрещен, а трафик начисляется, то посмотрите, прописано ли разрешение в фаерволе:
ipfw table 10 list
Посмотрите в админке в раздел "мониторинг" нет ли ошибок от модулей, не затупляют ли они (из-за сети или проблем с бд), смотрите логи noserver.log.
Также в таблице users_trf есть поле test, если его установить в 1, то через некоторое время noserver.pl выдаст отчет по клиенту с id = uid этой таблицы. Отчет будет в мониторинге. Мне он был бы очень полезен. Не забудьте только вернуть поле test в нулевое состояние, чтобы таблица не разрасталась
