Trafshow
Есть замечательная программа trafshow, ее можно установить из портов (/usr/ports/net/trafshow/), она позволяет в режиме реального времени просматривать трафик в удобной форме в виде таблицы.
Главным достоинством программы является то, что синтаксис командной строки совпадает с синтаксисом утилиты tcpdump.
Например:
trafshow -p -i em3 -n dst host 192.168.0.246
покажет активность хоста 192.168.0.246 на сетевом интерфейсе em3 сервера, причем сетевая карта не переводится в promiscuous mode (ключ -p).
trafshow -p -i em3 -n dst host 192.168.0.246 and port 22
покажет активность хоста 192.168.0.246 на сетевом интерфейсе em3 сервера и только на порт 22
trafshow -p -i em3 -n dst host 192.168.0.246 and not port 53 and not port 80 and not port 443
покажет активность хоста 192.168.0.246 на сетевом интерфейсе em3 сервера исключив порты 53,80,443
trafshow -p -i em3 -n dst net 192.168.0.0 mask 255.255.255.0
покажет активность сети 192.168.0.0/24 на сетевом интерфейсе em3 сервера.
trafshow -p -i em3 -n dst net 192.168.0.0 mask 255.255.255.0 and not 192.168.0.246
покажет активность сети 192.168.0.0/24 на сетевом интерфейсе em3 сервера исключив хост 192.168.0.246.
И т.д.