Découvrez le trafic réseau par IP

Nous avons un serveur central qui fonctionne comme une passerelle Internet. Ce serveur est connecté à Internet et, à l'aide d'iptables, nous transmettons le trafic et partageons la connexion Internet entre tous les ordinateurs du réseau. Cela fonctionne très bien.

Cependant, Internet devient parfois très lent. L'un des utilisateurs télécharge probablement des vidéos ou d'autres fichiers volumineux. Je veux identifier le coupable. Je pense à installer un outil qui peut surveiller le trafic réseau qui passe par le serveur, par IP. De préférence en temps réel ainsi qu'un total cumulé (là encore par IP). Un outil recommandé pour cela? De préférence quelque chose dans les référentiels Ubuntu.

Je vais devoir être bon marché et copier ma réponse de cette question .

ntop est probablement la meilleure solution pour ce faire. Il est conçu pour fonctionner à long terme et capturer exactement ce que vous recherchez.
Il peut vous montrer quels clients reçoivent / envoient le plus de trafic, où ils reçoivent / envoient, quels protocoles et ports sont utilisés, etc.
Il utilise ensuite une interface graphique Web pour naviguer et afficher ces informations.

ntop est un outil assez bien connu, donc je serais très surpris s'il ne se trouve pas dans le référentiel de paquets d'Ubuntu.

ntop peut vous donner exactement ce que vous demandez. Il collecte des données sur tout le trafic circulant sur votre réseau (et peut collecter des données d'autres réseaux s'ils ont un appareil configuré pour envoyer des données netfow à votre système).

Il vous montrera tous les hôtes du réseau, avec la bande passante qu'ils ont utilisée. Il vous permettra d'explorer chaque hôte et de voir quel type de trafic il génère et vers / à partir de qui. Il vous permettra de voir les connexions TCP actuellement établies. Vous pouvez à peu près vous perdre pendant des jours à parcourir les données qu'il peut vous fournir.

Le programme peut être un porc de mémoire, cependant, selon la façon dont vous avez configuré les options.

Vous pouvez vérifier les compteurs existants dans iptables pour voir si quelque chose semble hors de ligne,

Il est également possible d'ajouter des règles comptables aux iptables qui ne sont utilisées que pour générer des décomptes de trafic. Un outil comme Shorewall facilite cette opération et possède une documentation spécifique sur les règles comptables

Des recherches ont montré que les gros tampons dans les routeurs peuvent entraîner des problèmes de performances. Vous voudrez peut-être essayer de façonner le trafic à un peu moins que la capacité du réseau. Shorewall propose deux approches pour la mise en forme du trafic. Cela peut également être utilisé pour hiérarchiser certains types de trafic.

Si vous identifiez un utilisateur dont la bande passante est excessive, plusieurs options s'offrent à vous:

• Discutez du problème avec eux et rappelez-leur votre politique d'utilisation;
• Bloquer l'accès au service et / ou au site qui utilise la bande passante;
• Limitez le trafic vers le service et / ou le site qui utilise la bande passante; et / ou
• Limitez le trafic pour l'utilisateur en question.

Pour voir l'utilisation en temps réel par IP (plutôt par IP et par port):

sudo apt install tcptrack
sudo tcptrack -i eth0

Pour voir l'utilisation en temps réel par adresse MAC, un bel outil basé sur ncurses est iptraf-ng:

sudo apt install iptraf-ng
sudo iptraf-ng

(Et puis, sélectionnez "Moniteur de station LAN → eth0".)

Pour voir le volume quotidien de données agrégées par IP, mon préféré est ipfm. Installer avec:

sudo apt install ipfm

Configurez ensuite en /etc/ipfm.conffonction de man ipfm.confet commencez par sudo ipfm.