pfsense 等防火墙能否记录网络访问日志，查出异常流量？

你确定公司给你自己弄防火墙而不是找信息化中心?别到时候又把事情闹大.

弄个台镜像流量的三层交换机，配合抓包软件就行了，推荐科来，免费版一般也能满足你们这种规模的公司了。

Pfsense 是没问题的，来这里看看：

https://pfschina.org/wp/

不过有个问题，如果是企业的话还是不好自己搞软路由，要走正规渠道采购吧。

那不妨看看国内成品路由器，爱快，派网，之类的产品，会不会更好？

@yyzh
@tomczhen
@dann73580
感谢各位回复，是在高校，已经沟通过了，只要信息化中心的系统检测通过就可以了。

个人认为他们是误判的概率居多，因为他们说检测到了挖矿的流量，这点还是比较有数的，应该是不太可能的。只是现在我们没有相关的记录，我们也无法辩驳。让我们建立网络日志与台账以便排查也是他们给出的思路，行政上应该是没有什么问题的。

要直接买一台防火墙当然最省事，只是经费有限，所以想着跟各位探讨一下成本低一些的方案。

https://zhuanlan.zhihu.com/p/568921708
https://www.panabit.com/Solution-Financial-02
见这个有免费版,应该够用了?

www.panabit.com x86 架构，3 个网口。基于有 freebsd 系统和 linux 系统可选部署方式。可桥接在出口处分析网络流量

@mrcn 挖矿很有可能是因为中病毒导致，可以先检查下是否都安装反病毒软件并全盘扫描一下。

panabit 的免费版：256IP ，65k 连接数限制。超出部分显示为未知流量，没有做限制

@mrcn #4 挖矿这个检测这么多年了，技术是比较成熟的，一般不会错。

申请资金，买一台破烂的企业级路由，将记录日志丢回去即可...

如果只是为了解决挖矿这个 可以试下简单的方式 https://onedns.net/
或者直接问下触发了哪个域名，反查是什么 ip 触发的或者直接指向到 0.0.0.0

哈哈，想起当年用网康的时候，去问同事你们怎么不务正业，人家一脸委屈的说没啊。。。

对于那些安装了 p2p 的电脑，能怎么搞。

可以试试 opnsense 的 netflow 功能，pfsense 默认安装只能 pflog 或者 tcpdump 来记录，要么缺少现成的分析工具，要么对系统负载影响太大

他们应该可以提供挖矿的目标地址，然后在内网查找谁在访问这个地址就很好找了。

前年电信把公司网络直接给掐了，说是在挖矿，并提供了一个截图，包含了矿池的地址，直接路由器看谁在访问然后去处理掉就完事了..
不过他们最初提供的截图不完整没目标地址，还是后来去要的。。

@mrcn 挖矿不太可能误判，而且内网大概率是弱密码或者漏洞被中毒的挖矿机横向扩展了。现在的网络环境非常恶劣，还是上点内网安全吧

pfSense -> ntopng -> elasticsearch ，理论上可以把实时流量记录下来，再进行分析。

买个带端口镜像功能的交换机，在几个节点上面开镜像，镜像端口接 PC ，千兆网口不够就上万兆
要求不高的话，clash meta 可以嗅探协议和 SNI ，也许可以抓出来一般的矿池