Monitorar trafego da rede [RESOLVIDO]

O tcptrack resolveu minha vida, com ele consegui identificar a maquina que estava trancando a internet com atualizações automaticas desreguladas, depois o problema do https eu resolvi limpando as regras de iptables e reiniciando o servidor, depois quero testar também o etherape.

Muito bom, muito obrigado a todos pela atenção.

Silas, vi que voce falou ali que conseguiu bloquear o facebook via iptables.
Poderia colar teu script ou mandar via pm?
Estou com problemas quanto a isso.

Quanto ao monitoramento do trafego, teste o iftop, na minha opniao ele foi o mais simples que conheci.
Se gosta de uma alternativa mais bruta, seria o wireshark mesmo.

Valeu

E vi agora que vc falou quanto a atualizacoes do windows desreguladas, ja pensou em usar o WSUS em alguma maquina windows sua?
Eu tenho uma rede de 20 estacoes e 3 servidores windows. Um desses servidores eu tenho instalado o Wsus e as estacoes pegam a atualizacao dela, assim só baixo uma vez do site da microsoft e entao seleciono a data e qual maquina quero que seja instalada a atualizacao.

eu usei assim:

iptables -A INPUT -m string --algo bm --string "facebook.com" -m iprange --src-range 10.0.2.5-10.0.2.79 -j DROP


A minha range bloqueada é desde o ip 10.0.2.5 até o ip 10.0.2.79

Para bloquear e liberar sites HTTPS eu recomendo usar o proxy configurado como nao transparente ou com o WPAD.
Pelo IPTABLES ele somente bloqueia a conexão. Pelo proxy nao transparente ele trata essas conexões normalmente, e vc consegue controlar isso pelas ACLs do squid.
Pelo WPAD funciona da mesma forma, com o adicional de nao precisar setar o proxy navegador por navegador. É como o proxy transparente tratando https!