Descubra el tráfico de red por IP

Tenemos un servidor central que funciona como una puerta de enlace a Internet. Este servidor está conectado a Internet y, mediante iptables, reenviamos el tráfico y compartimos la conexión a Internet entre todas las computadoras de la red. Esto funciona bien.

Sin embargo, a veces Internet se vuelve realmente lento. Lo más probable es que uno de los usuarios esté descargando videos u otros archivos grandes. Quiero señalar al culpable. Estoy pensando en instalar una herramienta que pueda monitorear el tráfico de red que pasa a través del servidor, por IP. Preferiblemente en tiempo real, así como un total acumulado (nuevamente por IP). ¿Alguna herramienta recomendada para esto? Preferiblemente algo en los repositorios de Ubuntu.

Voy a tener que ser barato y copiar mi respuesta de esta pregunta .

ntop es probablemente la mejor solución para hacer esto. Está diseñado para funcionar a largo plazo y capturar exactamente lo que está buscando.
Puede mostrarle qué clientes están recibiendo / enviando más tráfico, dónde están recibiendo / enviando, qué protocolos y puertos se están utilizando, etc.
Luego, utiliza una GUI web para navegar y mostrar esta información.

ntop es una herramienta bastante conocida, por lo que me sorprendería mucho si no está en el repositorio de paquetes de Ubuntu.

ntop puede darte exactamente lo que estás pidiendo. Recopila datos sobre todo el tráfico que fluye a través de su red (y puede recopilar datos de otras redes si tienen un dispositivo configurado para enviar datos de netfow a su sistema).

Le mostrará cada host en la red, con la cantidad de ancho de banda que han utilizado. Le permitirá profundizar en cada host y ver qué tipo de tráfico están generando y hacia / de quién. Le permitirá ver las conexiones TCP establecidas actualmente. Puede perderse durante días revisando los datos que puede proporcionarle.

Sin embargo, el programa puede ser un problema de memoria, dependiendo de cómo tenga configuradas las opciones.

Puede verificar los contadores existentes desde iptables para ver si algo parece fuera de línea,

También es posible agregar reglas de contabilidad a iptables que se usan solo para generar conteos de tráfico. Una herramienta como Shorewall facilita hacer esto y tiene documentación específica sobre las reglas de contabilidad

Ha habido investigaciones que demuestran que los grandes buffers en los enrutadores pueden causar problemas de rendimiento. Es posible que desee intentar modelar el tráfico a un poco menos de la capacidad de la red. Shorewall ofrece un par de enfoques para dar forma al tráfico. Esto también se puede usar para priorizar ciertos tipos de tráfico.

Si identifica a un usuario cuyo uso de ancho de banda es excesivo, tiene algunas opciones:

• Discuta el problema con ellos y recuérdeles su política de uso;
• Bloquee el acceso al servicio y / o sitio que utiliza el ancho de banda;
• Limite el tráfico al servicio y / o sitio que usa el ancho de banda; y / o
• Limite el tráfico para el usuario en cuestión.

Para ver el uso en tiempo real por IP (más bien, por IP y puerto):

sudo apt install tcptrack
sudo tcptrack -i eth0

Para ver el uso en tiempo real por la dirección MAC, una buena herramienta basada en ncurses es iptraf-ng:

sudo apt install iptraf-ng
sudo iptraf-ng

(Y luego, seleccione "Monitor de estación LAN → eth0".)

Para ver el volumen de datos agregados diarios por IP, mi favorito es ipfm. Instalar con:

sudo apt install ipfm

Luego configure /etc/ipfm.confsegún man ipfm.confy comience con sudo ipfm.