Linux环境下用Iptraf监控网络流量效果非常好

Linux环境下用Iptraf监控网络流量效果非常好

Iptraf是一款Linux环境下，监控网络流量的一款绝佳的免费小软件，特别是安装到防火墙上，与Iptables一起工作，监控流经防火墙的网络异常，效果非常好。我的系统是CentOS5.3 64位，好像是自带的。使用方法如下：

# Iptraf

运行Iptraf后会产生一个字符界面的菜单，点击x可以退出 Iptraf，各菜单说明如下：

1、菜单Configure...

在这里可以对 Iptraf 进行配置，所有的修改都将保存在文件：/var/local/Iptraf/Iptraf.cfg 中

--- Reverse DNS Lookups 选项，对IP地址反查 DNS名，默认是关闭的。

--- TCP/UDP Service Names 选项，使用服务器代替端口号，例如用www 代替80，默认是关闭的。

--- Force promiscuous 混杂模式，此时网卡将接受所有到达的数据，不管是不是发给自己的。

--- Color 终端显示彩色，当然用telnet ,ssh连接除外，也就是用不支持颜色的终端连接肯定还是没有颜色。

--- Logging 同时产生日志文件，在/var/log/Iptraf 目录下。

--- Activity mode 可以选择统计单位是kbit/sec 还是 kbyte/sec 。

--- Source MAC addrs in traffic monitor 选择后，会显示数据包的源MAC地址。

2、菜单Filters...

在这里可以设置过滤规则，这是最有用的选项了，当你从远端连入监控机时，自己的机器与监控机会产生源源不断的tcp数据包，有时很令人讨厌，此时你就可以将自己的ip地址排除在外。

它包括六个选项，分别是：Tcp、Udp、Other IP、ARP、RARP、Non-ip。我们以TCP为例说明，其它选项的配置都很相似。

--- Defining a New Filter

选择Defining a New Filter后，会出来一对话框，要求填入对所建的当前规则的描述名，然后回车确定，Ctrl＋x取消。再接着出现的对话框里，Host name/IP address:的First里面填源地址，Second里填目标地址，Wildcard mask的两个框里面分别是源地址和目标地址所对应的掩码，注意，这里的地址即可以是单个地址，也可以是一个网段，如果是单个IP，则相应的子网掩码要填成255.255.255.255，如果是一个网段，www.britepic.org则填写相应的子网掩码：例如，想表示192.168.0.0，有256个IP地址的网段，则填写192.168.0.0，子网是：255.255.255.0，其它类推，All则用0.0.0.0，子网也是0.0.0.0表示。

Port：栏要求填入要过滤的端口号，0表示任意端口号。Include/Exclude栏要求填入I或者E，I表示包括，E表示排除。填写完毕，回车确认，Ctrl x取消。

--- Applying a Filter

我们在上一步定义的一个或多个过滤规则会存储为一个过滤列表，在没有应用之前并不起作用，我们可以在这里选择我们应用那些过滤规则。所有应用的规则会一直起作用，即使重新启动Iptraf。我们可以执行Detaching a Filter来取消执行当前所有应用的规则。

--- Editing a Defined Filter 编辑一个已经存在的规则

--- Deleting a Defined Filter 删除一个已经定义的规则

--- Detaching a Filter 取消执行当前所有应用的规则