Узнайте сетевой трафик по IP

У нас есть один центральный сервер, который функционирует как интернет-шлюз. Этот сервер подключен к Интернету, и с помощью iptables мы перенаправляем трафик и разделяем подключение к Интернету между всеми компьютерами в сети. Это работает просто отлично.

Однако иногда интернет становится очень медленным. Скорее всего, один из пользователей загружает видео или другие большие файлы. Я хочу точно определить виновника. Я думаю об установке инструмента, который может контролировать сетевой трафик, проходящий через сервер, по IP. Желательно в режиме реального времени, а также на общую сумму (опять же по IP). Любой инструмент, который рекомендуется для этого? Желательно что-то в репозиториях Ubuntu.

Я собираюсь быть дешевым и скопировать свой ответ на этот вопрос .

Ntop , вероятно, лучшее решение для этого. Он предназначен для долгосрочной работы и захвата именно того, что вы ищете.
Он может показать вам, какие клиенты получают / отправляют наибольшее количество трафика, куда они получают / отправляют, какие протоколы и порты используются и т. Д.
Затем он использует веб-интерфейс для навигации и отображения этой информации.

ntop - довольно известный инструмент, поэтому я был бы очень удивлен, если бы его не было в хранилище пакетов Ubuntu.

Ntop может дать вам именно то, что вы просите. Он собирает данные обо всем трафике, проходящем через вашу сеть (и может собирать данные из других сетей, если у них есть устройство, настроенное для отправки данных netfow в вашу систему).

Он покажет вам каждый хост в сети, с какой пропускной способностью они использовали. Это позволит вам детализировать каждый хост и посмотреть, какой тип трафика они генерируют и для кого. Это позволит вам увидеть установленные в настоящее время TCP-соединения. Вы можете в значительной степени потеряться на несколько дней, просматривая данные, которые он может вам дать.

Тем не менее, программа может быть нехваткой памяти, в зависимости от того, как настроены параметры.

Вы можете проверить существующие счетчики из iptables, чтобы увидеть, если что-то выглядит не так,

Также можно добавить правила учета в iptables, которые используются только для генерации подсчета трафика. Такой инструмент, как Shorewall, позволяет легко это сделать и имеет специальную документацию по правилам бухгалтерского учета.

Исследования показали, что большие буферы в маршрутизаторах могут вызывать проблемы с производительностью. Возможно, вы захотите попытаться ограничить трафик чуть меньше, чем емкость сети. Shorewall предлагает несколько подходов к формированию трафика. Это также может быть использовано для определения приоритетов определенных видов трафика.

Если вы идентифицируете пользователя, чья пропускная способность чрезмерна, у вас есть несколько вариантов:

• Обсудите проблему с ними и напомните им о своей политике использования;
• Блокировать доступ к услуге и / или сайту, который использует пропускную способность;
• Ограничить трафик к услуге и / или сайту, который использует пропускную способность; и / или
• Ограничить трафик для данного пользователя.

Чтобы увидеть использование в реальном времени по IP (точнее, по IP и порту):

sudo apt install tcptrack
sudo tcptrack -i eth0

Чтобы увидеть использование в реальном времени по MAC-адресу, хороший инструмент на основе ncurses iptraf-ng:

sudo apt install iptraf-ng
sudo iptraf-ng

(А затем выберите «Монитор ЛВС → eth0».)

Чтобы увидеть ежедневный совокупный объем данных по IP, мой любимый ipfm. Установить с помощью:

sudo apt install ipfm

Затем настройте в /etc/ipfm.confсоответствии с man ipfm.confи начните с sudo ipfm.