我们有一个带2个WAN连接(3Mb / s和17Mb / s)的pfSense设置,并使用tcpdumplogging连接设置和dns请求。 我们想分析一下连接到的地方,注意看特洛伊木马和其他拨号家庭程序。 有没有什么工具可以进行这种分析?
我见过工具分析每个文件和时间段的networkingstream量? 那里的答案似乎是查看到Web服务器的入站stream量,这更多地是对出站stream量的回顾。
我们不使用鱿鱼,因为我们还没有想出如何让它在故障转移模式下工作。 通过不对称的带宽连接,我们有一些总是进出3Mb / s以上的东西(比如电子邮件),但我们希望networking的东西通过17Mb / s的连接,除非它停下来,那么我们希望它故障转移到3Mb / s连接,这是我们还没有想出如何configuration。
关于这个设置的另一件事是,我们也想看非networkingstream量。 我们希望看到哪些出站连接正在build立(聊天客户端,ssh …..)。 主要用来监视stream氓活动。 有什么可以帮助这个活动举起红旗……
如果您想要监视stream量出于安全原因并基于此进行警报,则此工具称为入侵检测系统(IDS) 。
一个stream行的工具是Snort 。 你可以在Windows或Linux上运行(也可能是BSD?)。 我会把这是在一个单独的机器上。 然后,您可以通过让交换机为每个WAN连接运行镜像端口来嗅探WANstream量。
所以广域网连接通过您的交换机(可能在他们自己的VLAN),并且每个都有一个镜像端口。 这些镜像端口插入您的IDS盒,因此IDS可以看到所有WANstream量的副本。 如果IDS在WANstream量中看到有趣的事情,它会向您发送警报。
鱿鱼应该使用任何接口,无论哪一个路由器具有更高的优先级。 你如何指定stream量到特定的接口? 你在使用防火墙规则吗? (IE规则创build页面底部的网关设置)
请注意,如果您试图使用规则来平衡它,并且您尝试在透明代理模式下使用squid,则出站stream量将总是来自路由器的地址,而不是最初请求的机器。
如果您的路由器的机器足够强大,可以像使用pfSense一样使用Snort,那么它也是正常的工作。
Squid不能用作pfsense上多WAN连接的透明代理。 路由器有两个地址,但pfsense只会使用第一个WAN连接,而不是任何可选的WAN接口。 不pipe你怎样尝试路由stream量,squid都会忽略所有这些路由规则,只对它所处理的所有stream量使用主默认网关。