Temos uma rede relativamente pequena, todos os PSs em uma sub-rede. Um PC com dois NICs e pfSense instalados funciona como um firewall / roteador. Há um túnel OpenVPN para um local remoto, criado como uma conexão site a site para outra caixa pfSense lá.
Eu tenho uma tarefa para capturar, armazenar e exibir (por meio de uma interface da web) informações sobre o tráfego gerado (tanto de entrada quanto de saída) por cada host em nossa sub-rede e apresentá-lo em várias visualizações:
Eu tentei os pacotes de software no pfSense que oferecem o tráfego de montagem - mas parece que eles não armazenam as informações fixas por meses, em vez de mostrar os valores de tráfego gerados em períodos (dias / meses / etc) calculados a partir do momento atual .
Também estou interessado em entender qual seria a melhor maneira de interromper o tráfego por hosts e destinos.
Estou aberto a todas as sugestões, mesmo que isso signifique que terei que entender algo novo para mim.
nfdump / nfsen pode fazer exatamente isso. Você pode armazenar dados de volta no tempo por quanto tempo você tiver espaço em disco - eu posso armazenar cerca de 3 meses de tráfego em nossas instalações em menos de 60 GB. Eu escrevi alguns scripts perl que extraem os resumos para cada IP local, para que eu possa fazer uma análise geral de tendências que remonta há quase dois anos.
Se a caixa do roteador / firewall estiver executando o Windows, você poderá instalar o PRTG nele e configurar um sensor sniffer de pacote para a NIC WAN. Se estiver rodando Linux / Unix, eu acho que você pode fazer o mesmo com o MRTG.
I tried the software packages in pfSense that offer traffic montoring - but it seems they don't store the information fixed by months, instead showing the amounts of traffic generated in periods (days/months/etc) calculated from the present moment.
O que isso significa exatamente?
Eu não estou muito familiarizado com o pfsense / FreeBSD, mas verifique se há opções de fluxo de rede disponíveis. NFZen e nfcapd devem definitivamente funcionar no BSD, mas eu não sei o que você usa para capturar as amostras reais! Essas ferramentas capturam apenas uma amostra do tráfego e, em seguida, permitem ver não apenas os ips e a largura de banda envolvidos, mas também as portas.