我们有一个 pfSense 设置,其中有 2 个 WAN 连接(3Mb/s 和 17Mb/s),并使用 tcpdump 记录连接设置和 DNS 请求。我们想分析所连接的位置,以防木马和其他拨号回家程序。有没有可以进行这种分析的工具?
我见过工具可以分析每个文件和时间段的网络流量吗?那里的答案似乎是为了查看 Web 服务器的入站流量,而这更多的是对出站流量的审查。
我们不使用 squid,因为我们还没有搞清楚如何让它在故障转移模式下工作。在非对称带宽连接中,有些东西总是通过 3Mb/s 进出(比如电子邮件),但我们希望网络内容通过 17Mb/s 连接出去,除非它发生故障,然后我们希望它故障转移到 3Mb/s 连接,而我们还没有搞清楚如何配置它。
关于此设置的另一件事是,我们还想监视非网络流量。我们想查看正在进行的出站连接(聊天客户端、ssh......)。主要用途是监视恶意活动。有助于该活动发出警告的东西......
答案1
如果你出于安全原因想要监控流量并据此发出警报,那么可以使用的工具是入侵检测系统 (IDS)。
一个流行的工具是呼噜。您可以在 Windows 或 Linux(也许还有 BSD?)上运行它。我会把它放在一台单独的机器上。然后它可以通过运行您的交换机来嗅探 WAN 流量镜像端口对于每个 WAN 连接。
因此,WAN 连接会通过您的交换机(可能在它们自己的 VLAN 中),并且每个交换机都有一个镜像端口。这些镜像端口插入您的 IDS 盒中,因此 IDS 可以看到所有 WAN 流量的副本。如果 IDS 在 WAN 流量中发现一些奇怪的情况,它会向您发送警报。
答案2
Squid 应该使用任一接口,无论路由器具有哪个接口作为更高优先级。您如何将流量引导到特定接口?您是否使用防火墙规则?(即规则创建页面底部的网关设置)
请注意,如果您尝试使用规则来平衡它,并且尝试在透明代理模式下使用 squid,那么来自它的出站流量将始终显示为来自路由器的地址,而不是最初请求它的机器。
如果您的路由器机器足够强大,可以处理 Snort 的运行以及其正常任务,则可以将 Snort 作为 pfSense 的一个软件包使用。
答案3
Squid 不能用作 pfSense 上具有多 WAN 连接的透明代理。路由器有两个地址,但 pfSense 将仅使用第一个 WAN 连接,而不使用任何可选 WAN 接口。无论您如何尝试路由流量,Squid 都会忽略所有这些路由规则,并且仅使用主默认网关来处理它处理的所有流量。