Простая утилита учета трафика по портам

iptables считает трафик по каждому правилу. Добавь правило и смотри на счетчики

Поддерживаю, причем любое правило какое сам придумаешь, в свое время так и считал трафик, засовывая его в мускул и предьявляя в веб морде, да он и сейчас так считается, только никому это уже не надо… анлим, но бывает полезно самому.

ipt_netflow и nfdump. Потом можно результат смотреть как угодно. Сверху можно ещё nfsen взгромоздить, но это уже web.

Хорошо, а получится ли с помощью iptables или ipt_netflow или nfdump отправлять статистику по выбранным портам по email, как здесь - https://poplinux.ru/node/6269 ?
Оно да, проверил, реально работает, но как уже говорил, vnstat статистику на порты не делит.

Хорошо, а получится ли с помощью iptables или ipt_netflow или nfdump отправлять статистику по выбранным портам по email

nfcapd (из пакета nfdump) сохранит в файл то, что ему пришлёт netflow-сенсор (не важно какой на самом деле, просто ipt_netflow самый быстрый из доступного в Linux, а так можно и ulog например). А дальше уж как сам обработаешь. nfsen умеет строить по этим данным любые картинки посредством rrdtool и в соответствующем стиле, можно код посмотреть. Либо отчёт в текстовом виде посредством nfdump и всё это слать посредством обычного mail.

Идея вроде понятна. А можно какой-нибудь простенький работоспособный набросок, чобы потом его приспособить?

А можно какой-нибудь простенький работоспособный набросок, чобы потом его приспособить?

Меня картинки не особо интересуют, так что у меня набросков про картинки нет. А nfdump - там man подробный достаточно. Задаёшь диапазон времени и фильтр, фильтр в стиле tcpdump.

Картинки в данный момент тоже не интересуют, консольный выхлоп нужен :)
А картинки потом сам прикручу.

Картинки в данный момент тоже не интересуют, консольный выхлоп нужен :)

Ну берёшь вот как-то так:

nfdump -O tstart -o line -N -a -R . -t 2020/01/19.22:00:00-2020/01/19.22:10:59 "src port 80 and dst host 192.168.7.89"

Date first seen          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2020-01-19 22:10:54.698     0.292 6            x.x.53.156:80    ->     192.168.7.89:37833        3      647     1
2020-01-19 22:10:54.823     0.162 6           x.x.248.233:80    ->     192.168.7.89:33578        5     2363     1
2020-01-19 22:10:54.854     0.122 6             x.x.38.59:80    ->     192.168.7.89:48403        5      708     1

Summary: total flows: 68, total bytes: 133631563, total packets: 89814, avg bps: 2255204, avg pps: 189, avg bpp: 1487
Time window: 2020-01-19 21:54:52 - 2020-01-19 22:19:58
Total flows processed: 2409960, Blocks skipped: 0, Bytes read: 134959536
Sys: 12.357s flows/second: 195020.5   Wall: 12.354s flows/second: 195062.0

AS: Вот спасибочки! Пошел вникать в это чудо гениальной админской идеи :)

Да, еще заинтересовало это ваше сообщение:

просто ipt_netflow самый быстрый из доступного в Linux, а так можно и ulog например

из которого узнал, что не все счетчики трафика одинаково полезны быстрые и среди них есть медленные.
Так вот эта «медленность» - она на чем сказывается? Снижает общую потоковую скорость по интерфейсу, или что-то другое ухудшает?

Так вот эта «медленность» - она на чем сказывается?

Вообще надо бы писать «эффективность кода». Менее эффективен - больше грузит процессор. А процессор много кому ещё нужен.

А, тогда понятно, спасибки! :)