Scopri il traffico di rete per IP

Abbiamo un server centrale che funziona come un gateway Internet. Questo server è connesso a Internet e tramite iptables inoltriamo il traffico e condividiamo la connessione Internet tra tutti i computer della rete. Questo funziona bene.

Tuttavia, a volte Internet diventa molto lento. Molto probabilmente uno degli utenti sta scaricando video o altri file di grandi dimensioni. Voglio individuare il colpevole. Sto pensando di installare uno strumento in grado di monitorare il traffico di rete che passa attraverso il server, tramite IP. Preferibilmente in tempo reale, nonché un totale accumulato (sempre tramite IP). Qualsiasi strumento che è raccomandato per questo? Preferibilmente qualcosa nei repository Ubuntu.

Dovrò essere economico e copiare la mia risposta da questa domanda .

ntop è probabilmente la soluzione migliore per farlo. È progettato per funzionare a lungo termine e catturare esattamente ciò che stai cercando.
Può mostrare a quali client stanno ricevendo / inviando la maggior parte del traffico, dove stanno ricevendo / inviando, quali protocolli e porte vengono utilizzati ecc.
Quindi utilizza una GUI Web per navigare e visualizzare queste informazioni.

ntop è uno strumento abbastanza noto, quindi sarei molto sorpreso se non fosse nel repository di pacchetti di Ubuntu.

ntop può darti esattamente quello che stai chiedendo. Raccoglie dati su tutto il traffico che fluisce attraverso la tua rete (e può raccogliere dati da altre reti se hanno un dispositivo configurato per inviare dati netfow al tuo sistema).

Ti mostrerà tutti gli host della rete, con quanta larghezza di banda hanno usato. Ti consentirà di eseguire il drill-down in ciascun host e vedere quale tipo di traffico stanno generando e da / a chi. Ti permetterà di vedere le connessioni TCP attualmente stabilite. Puoi praticamente perderti per giorni passando attraverso i dati che può darti.

Tuttavia, il programma può essere un problema per la memoria, a seconda di come hai impostato le opzioni.

Puoi controllare i contatori esistenti da iptables per vedere se qualcosa sembra fuori linea,

È anche possibile aggiungere regole di contabilità a iptables che vengono utilizzate solo per generare conteggi di traffico. Uno strumento come Shorewall semplifica l'operazione e dispone di una documentazione specifica sulle regole di contabilità

Ci sono state ricerche che dimostrano che i buffer di grandi dimensioni nei router possono causare problemi di prestazioni. Potresti provare a modellare il traffico in modo leggermente inferiore alla capacità della rete. Shorewall offre un paio di approcci alla definizione del traffico. Questo può anche essere usato per dare la priorità a determinati tipi di traffico.

Se identifichi un utente il cui utilizzo della larghezza di banda è eccessivo, hai alcune opzioni:

• Discutere il problema con loro e ricordare loro la vostra politica di utilizzo;
• Bloccare l'accesso al servizio e / o al sito che utilizza la larghezza di banda;
• Limitare il traffico al servizio e / o al sito che utilizza la larghezza di banda; e / o
• Limitare il traffico per l'utente in questione.

Per vedere l'utilizzo in tempo reale tramite IP (piuttosto, per IP e porta):

sudo apt install tcptrack
sudo tcptrack -i eth0

Per vedere l'utilizzo in tempo reale tramite l'indirizzo MAC, un simpatico strumento basato su ncurses è iptraf-ng:

sudo apt install iptraf-ng
sudo iptraf-ng

(Quindi, selezionare "Monitor stazione LAN → eth0".)

Per vedere il volume di dati aggregati giornalieri per IP, il mio preferito è ipfm. Installa con:

sudo apt install ipfm

Quindi configurare in /etc/ipfm.confbase man ipfm.confe iniziare con sudo ipfm.