Люди местные, сами мы недобрые... А расскажите, кто чем считает трафик и потом анализирует насчитанное.
Интересует примерно следующая модель использования. Есть сеть, довольно развесистая, аж о двух роутерах (один роутит подсети внутренней сети и в DMZ, а другой из DMZ наружу). Внешний роутер маскарадит (и сам тоже малость генерирует трафик). Внутренняя сеть на VLAN'ах, и есть OpenVPN. Что хочется получить. В любой момент под рукой должна быть сводная информация вида "кто пожрал канал" - Top несколько пожирателей канала. Статистика (можно переключаемо вручную): за последние сутки-двое (с детализацией по часам), неделю (с детализацией приблизительно по времени дня), за пару месяцев (с детализацией по дням). Детализацию удобно было бы видеть графиками. Поскольку у внешнего роутера может быть более одного внешнего интерфейса, хорошо бы уметь увидеть статистику, касающуюся только одного из них. Заинтересовавшие вхождения нужно иметь возможность быстро и удобно (с точки зрения интерфейса) увидеть с аналогичным подходом (Top несколько, с детализацией) по: протоколам (в понимании IP, т.е. ICMP/UDP/TCP/что-там-еще-бывает), хостам (с кем в основном обменивался пакетами заинтересовавший меня наш внутренний хост), внутри протоколов TCP/UDP - по портам. Собственно, задачи, которые хочется решать: - сколько мы пожрали трафика за отчетный перед провайдером период - кто пожрал внешний канал - чем он его пожрал (трояна словил, за ненужными апдейтами ломанулся мимо родного WSUS'а, торрент торрентит, и т.п.) - где узкие места в локальной сети При этом на роутерах софта должно быть по минимуму - особенно софта, слушающего какие-то соединения. Категорически отказать апачу, а за выполнение aptitude install php<что-угодно> на роутере у нас применяется корпоративный расстрел на месте. На машине, которая показывает результаты админу или начальнику, можно и пыхпых. Поскольку внешний роутер маскарадит, то, вероятно, снимать надо ULOG'ом. pcap'ом либо его собственный внешний трафик не увидишь, либо детализацию по внутренним адресам не получишь. Насколько я понимаю, мейнстрим формата съема на одной машине с обработкой на другой - это NetFlow. Но если со снималкой для него вроде все понятно - fprobe-ulog, остальные ulog-варианты не умеют NetFlow, то вот с дальнейшей обработкой и визуализацией хотелось бы почитать мнение тех, кто этих устриц ел. -- Пришел в гости математик, почитать новую рукопись. Вычитал из нее трех героев напрочь, и ушел. Gimli on #arda -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/76391...@wizzle.ran.pp.ru