У нас относительно небольшая сеть, все ИП в одной подсети. Один компьютер с двумя сетевыми адаптерами и pfSense Установлено работает как межсетевой экран / роутер. Существует туннель OpenVPN в удаленное место, созданный как соединение типа "сеть-сеть" с другим блоком pfSense.
У меня есть задание собирать, хранить и отображать (через веб-интерфейс) информацию о трафике, генерируемом (как входящем, так и исходящем) каждым хостом в нашей подсети, и представлять ее в нескольких представлениях:
Я пробовал программные пакеты в pfSense, которые предлагают мониторинг трафика, но, похоже, они не хранят информацию, фиксированную по месяцам, а вместо этого показывают объемы трафика, генерируемые за периоды (дни / месяцы / и т. Д.), Рассчитанные с настоящего момента.
Мне также интересно понять, как лучше всего разделить трафик по хостам и направлениям.
Я открыт для всех предложений, даже если они означают, что мне придется понять что-то новое для меня.
nfdump / nfsen может сделать именно это. Вы можете хранить данные в прошлом, сколько бы у вас ни было дискового пространства - я могу хранить около 3 месяцев трафика на нашем предприятии в объеме менее 60 ГБ. Я написал несколько скриптов на Perl, которые извлекают сводки для каждого локального IP-адреса, поэтому я могу провести общий анализ тенденций за почти два года.
Если маршрутизатор / брандмауэр работает под управлением Windows, вы можете установить на нем PRTG и настроить датчик сниффера пакетов для WAN NIC. Если он работает под управлением Linux / Unix, я думаю, вы можете сделать то же самое с MRTG.
Я пробовал программные пакеты в pfSense, которые предлагают мониторинг трафика, но, похоже, они не хранят информацию, фиксированную по месяцам, а вместо этого показывают объемы трафика, генерируемые за периоды (дни / месяцы / и т. Д.), Рассчитанные с настоящего момента.
Что именно это означает?
Я не очень хорошо знаком с pfsense / FreeBSD, но проверю, есть ли доступные параметры netflow. NFZen и nfcapd определенно должны работать в BSD, но я не знаю, что вы используете для захвата реальных образцов! Эти инструменты собирают только образец трафика, а затем позволяют вам видеть не только, какие IP-адреса и пропускная способность задействованы, но и какие порты.