通过防火墙分析流量的工具?

我们有安装 pfSense 从 2 连接 WAN (3 Mbit. / 和和 17 Mbit. / 从), 我们使用 tcpdump 注册配置连接和请求 DNS. 我们想分析我们连接的地方,以跟踪特洛伊木马和其他拨号程序到房屋。 有此类分析是否有任何工具?

我见过
https://serverfault.com/questi ... eriod
答案似乎与向Web服务器监视传入流量有关,其中更多的传出流量概述。

我们不使用 squid, 因为他们没有发现如何在紧急开关模式下工作。 使用不对称的带宽连接,我们有一些始终包括的东西 / 出速度 3 Mbit. / 从 (例如,电子邮件), 但我们希望网页材料通过连接 17 Mbit. / C如果它未被禁用,那么我们希望它以速度切换到连接 3 MB. / C,我们没有讨论如何配置它。

此设置的另一个功能是我们也希望跟踪不是Web流量。 我们希望看到安装了哪些外向连接 (聊天客户端 ssh ...). 基本用途 - 观察欺诈者的行为。 有助于这项活动的东西提高红旗 ...
2021-03-21 添加评论
分享

没有找到相关结果

    已邀请:

    帅驴

    赞同来自:

    如果要以安全原因跟踪流量并警告它,则会调用该工具。
    http://en.wikipedia.org/wiki/I ... ystem
    .

    一个流行的工具是
    http://www.snort.org/
    . 你可以运行它 Windows 或者 Linux (并且可能在 BSD?). 我会把它放在一个独立的车上。 然后他可以听交通 WAN, 运行开关。
    http://en.wikipedia.org/wiki/Port_mirroring
    对于每个WAN连接。

    所以连接 WAN 通过您的交换机 (也许自己 VLAN), 他们每个人都有一个镜子端口。 这些镜像端口连接到您的 IDS, 所以 IDS 她看到了一份整个万交通的副本。 如果一个 IDS WAN交通中有趣的东西,她会发出警告。
    2021-03-21 0 0
    分享

    涵秋

    赞同来自:

    Squid 不能用作具有多个WAN连接的透明代理 pfsense. 路由器有两个地址,但 pfsense 它只使用第一个WAN连接,而不是任何额外的WAN接口。 无论您如何尝试路由交通, squid 它将忽略所有这些路由规则,只会使用默认的主网关进行IT流程的整个流量。
    2021-03-21 0 0
    分享

    知食

    赞同来自:

    Squid 必须使用任何接口,具体取决于哪个路由器具有更高的优先级。 您如何向某些接口发送流量? 你使用防火墙规则吗? (那些。 在页面创建页面的底部设置网关)

    请注意,如果您尝试使用规则进行平衡并尝试使用 squid 在透明的代理模式下,传出流量将始终来自路由器的地址,而不是最初请求它的机器。

    Snort 可用作包装 pfSense, 如果您的路由器非常强大,以应对他的工作,并履行其通常的职责。
    2021-03-21 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    Copyright © 2023, All Rights Reserved