Tengo un escritorio de Linux que será una puerta de enlace entre mi red privada y la Internet abierta. Me gustaría que capturara y almacenara todo el tráfico de la red que pasa a través de él continuamente, 24/7 (hasta que el disco duro se llene;). Pero tiene que ser más sofisticado, que solo un gran volcado de paquetes:
1) Me gustaría tener alguna capacidad de lista blanca para no almacenar selectivamente tipos específicos de tráfico (por ejemplo, videos de YouTube, descargas de BitTorrent). Eso probablemente significa crear reglas basadas en protocolos, IP / dominios, encabezado / palabras clave de contenido , DPI tal vez?
2) Guárdelo de una manera que permita consultar fácilmente los datos capturados. Recuerde: esto se volverá bastante grande con el uso normal de la web. Así que mi conjetura es, tal vez alguna base de datos rápida y plana, como Redis?
Soy relativamente nuevo en Linux. Tengo un conocimiento rudimentario de cosas como iptables y me enteré de tcpdump / libpcap, pero parece demasiado básico (ver dos puntos arriba).
¿Cómo hago para solucionar esto?
...
(Esta es una pregunta aparte, pero también recibo sugerencias sobre cómo consultar todos estos datos. Necesito algo de alto nivel, como "Dame todos los archivos descargados por ese dispositivo / IP hoy", y no solo un La gran lista de paquetes estilo Wireshark, que puede ser buena para diagnósticos, pero no para la búsqueda y recuperación de contenido eficiente.)