IPTraf 网络监控工具使用说明

忽略网络140.66.5.x和任意地址之间的流量
Host name/IP Address 140.66.5.x 0.0.0.0
Wildcard mask 255.255.255.0 0.0.0.0
Port 0 0
Include/Exclude E
如果定义了过滤器，IPTraf的IP流量监视器将只显示过滤器指定连接的流量，其它一律不显示。这类似于防火墙的默认禁止策略。因此，如果你想监视除了某个地址之外的所有连接，你只能首先定义一个排除类型的过滤器，最后定义一个包括(include)类型的过滤器(所有的域全部是0)。
例如：我们想显示所有TCP连接上的网络流量，除了SMTP、WEB端口以及207.0.115.44的连接：

Host name/IP address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 25 0
Include/Exclude E
Host name/IP address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 80 0
Include/Exclude E
Host name/IP address 207.0.115.44 0.0.0.0
Wildcard mask 255.255.255.255 0.0.0.0
Port 0 0
Include/Exclude?E
Host name/IP address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 0 0
Include/Exclude I
3.1.3.其它菜单项
过滤器定义完成之后，我们需要使用Applying a Filter菜单项使其生效；可以选择Editing a Defined Filter菜单项，编辑现有的过滤器；选择Deleting a Defined Filter菜单项，删除一个过滤器；选择Detaching a Filter菜单项使一个过滤器失活。这都比较简单，在此就不多做赘述了。
3.2.其它协议过滤器
IPTraf还支持其它类型的过滤器。不过，除了UDP过滤器之外，其它协议过滤器都只是开关(是否显示这类协议)而已。UDP协议过滤器的设置和TCP过滤器的设置差不多，这里就不多做赘述了。

4.IPTraf配置
你可以使用Configure配置菜单对IPTraf进行配置，所有的配置都会保存在/var/local/iptraf/iptraf.cfg或者/var/iptraf/iptraf.cfg。如果找不到配置文件，IPTraf就使用默认的配置。在IPTraf的主菜单中选择Configure菜单项，就可以进入配置界面：

4.1.开关选项
4.1.1.反向查询(Reverse Lookup)
IPTraf支持反向域名解析，把IP地址转换为主机名。不过，由于域名反向解析比较慢，因此可能造成丢包。在默认情况下，这个选项是关闭的。
4.1.2.TCP/UDP服务名(TCP/UDP service Names)
IPTraf可以使用/etc/services文件把端口号转换为对应的服务名，例如：80端口对应WWW服务。默认情况下，这个选项也是关闭的。
4.1.3.强制混杂模式(Force promiscuous)
打开了这个选项，可以使你自己的网络设备进入混杂模式。这样可以捕获你所在局域网的所有报文，这个选项对以太网和FDDI有效，
4.1.4.色彩(Color)
决定是否采用彩色显示方式。
4.1.5.日志(logging)
打开日志功能，可以使IPTraf把统计和分析结果保存到磁盘，便于以后的分析。有关日志文件的设置，我们在前面已经穿插介绍过了:P
4.1.6.活动模式(Activity mode)
切换速率单位(kbits/s和kbytes/s)。默认的速率单位是kbits/s。
4.1.6.Source MAC addrs in traffic monitor
决定是否在IP流量监视器中显示报文的MAC源地址，对于以太网、FDDI或者PLIP网络接口有效。对于非TCP报文(IP流量监视器的下部分显示窗口)报文的MAC源地址直接在窗口中显示，对于TCP报文(IP流量监视器的上部分显示窗)，需要按M键。
4.2.时钟选项(Timers)
你可以使用Timers子菜单设置IPTraf的各种时间间隔和超时时间。

4.2.1.TCP超时(TCP Timeout)
设置空闲连接条目保留的时间，超过这个时间就被一个新的连接代替。默认值是15分钟。
4.2.2.日志更新间隔(Log Interval)
这个选项设置每个多少分钟保存日志信息，默认值是60分钟。
4.2.3.屏幕刷新频率(Screen Update Interval
这个选项设置每间隔多少秒钟刷新屏幕。默认值是0，表示尽可能快地刷新屏幕。
4.2.4.TCP关闭/空闲保留时间(TCP closed/idle persistence)
这个参数决定关闭、空闲和超时的TCP连接在IP流量监视器显示窗口中保留多少分钟。默认值是0，表示一直保留这些连接，直到被新的连接代替。
4.3.信息定置选项
4.3.1.额外的端口(Additional port)
上面讲过，默认情况下，IPTraf只对小于1024的端口号进行流量分析，使用这个选项可以填加你需要进行流量分析的端口。这个选项还可以定义端口范围。
4.3.2.删除端口/端口范围(Delete port/range)
自然是和上面的选项相反了，删除上一个选项定义的端口或者端口范围。
4.4.局域网工作站标志符(LAN Station Identifiers)
IPTraf的局域网工作站统计是基于MAC地址的。但是十六进制的MAC地址非常难以记忆，因此IPTraf引入了局域网工作站标志符(LAN Station Identifiers)。使用局域网工作站标志符(LAN Station Identifiers)可以帮助你更好地区别局域网内的工作站。
在主菜单中选择Ethernet/PLIP host descriptions or FDDI host descriptions菜单选项，就会出现一个子菜单，你可以通过这个子菜单填加、编辑删除.局域网工作站标志符。