Cuando un cliente llama diciendo que “Internet va lento” o que “la red no funciona como debería”, lo más habitual es encontrarse con explicaciones vagas que no ayudan a delimitar el problema. En esos casos, los administradores de sistemas necesitan herramientas que permitan obtener una visión clara e inmediata de qué está ocurriendo en la red. Una de las más útiles, ligeras y directas es iftop, un monitor de tráfico en tiempo real que debería estar en la caja de herramientas de cualquier sysadmin.
¿Qué es iftop?
iftop es un comando de línea que muestra el tráfico de red en tiempo real, de manera similar a como lo hace top con los procesos. En lugar de listar qué aplicaciones están consumiendo más CPU o memoria, iftop revela qué direcciones IP están generando tráfico en tu servidor, hacia dónde se dirigen los paquetes y cuánto ancho de banda consume cada conexión.
Su funcionamiento es sencillo pero potente:
- Escucha en la interfaz de red especificada (por defecto, la principal).
- Lista conexiones activas mostrando IP origen y destino.
- Mide la cantidad de tráfico entrante y saliente en tiempo real.
- Muestra promedios en ventanas temporales (2, 10 y 40 segundos).
En resumen, iftop es como ponerse unas gafas de rayos X cuando la red empieza a fallar y nadie puede darte más detalles.
Instalación en Linux
iftop está disponible en la mayoría de distribuciones GNU/Linux desde sus repositorios oficiales. En sistemas basados en Debian o Ubuntu, basta con ejecutar:
sudo apt update
sudo apt install iftop
En CentOS, RHEL o Fedora, el paquete puede instalarse desde EPEL:
sudo yum install epel-release
sudo yum install iftop
Una vez instalado, el comando básico para ejecutarlo es:
sudo iftop -i eth0
Donde -i especifica la interfaz de red que deseas monitorizar.
Interpretando la salida de iftop
La interfaz de iftop es minimalista pero muy clara. Al abrirla, verás algo similar a esto:
1.15Mb 1.19Mb 1.21Mb
192.168.1.10 => 8.8.8.8 250Kb 220Kb 230Kb
192.168.1.10 <= 8.8.8.8 200Kb 210Kb 190Kb
192.168.1.10 => 151.101.65.69 30Kb 20Kb 15Kb
Lenguaje del código: PHP (php)- IP origen y destino: muestran quién se conecta con quién.
- => y <=: diferencian tráfico saliente y entrante.
- Columnas temporales: promedios de tráfico en intervalos de 2, 10 y 40 segundos.
- Barra superior: ancho de banda total consumido en la interfaz.
Con esta información es posible detectar si un proceso interno está saturando la red, si existe un pico de tráfico hacia una IP desconocida o si hay conexiones sospechosas que no deberían existir.
Opciones y parámetros útiles
Aunque la ejecución básica de iftop es suficiente para la mayoría de diagnósticos rápidos, existen opciones que conviene conocer:
-i <interfaz>→ especifica la interfaz de red.-B→ muestra tráfico en bytes en lugar de bits.-P→ muestra números de puerto además de las direcciones IP.-N→ resuelve nombres de host cuando es posible.-F→ filtra tráfico según un rango de red (ejemplo:-F 192.168.1.0/24).
Además, dentro de la interfaz puedes interactuar con el teclado:
- t → alterna entre diferentes modos de visualización.
- s → ordena por tráfico enviado.
- r → ordena por tráfico recibido.
- p → pausa o reanuda la actualización de datos.
Casos prácticos para administradores de sistemas
- Diagnóstico de lentitud en aplicaciones web
Si un cliente reporta que su web va lenta, con iftop puedes comprobar si hay saturación en la interfaz de red y qué conexiones están generando mayor consumo. - Detección de tráfico sospechoso
Si ves una IP desconocida recibiendo grandes cantidades de datos, podría tratarse de una intrusión, un malware exfiltrando información o un proceso mal configurado. - Control de ancho de banda en entornos compartidos
En servidores con múltiples clientes o servicios, iftop permite detectar rápidamente quién consume más ancho de banda, ideal en VPS, hosting compartido o entornos de coworking digital. - Soporte remoto ágil
Cuando el cliente no puede describir el problema más allá de “Internet no funciona”, lanzar uniftopen la interfaz correcta es la forma más rápida de tener un mapa en vivo del tráfico.
iftop frente a otras herramientas
- iftop es ligero y en tiempo real, ideal para diagnósticos inmediatos.
- nload se centra en gráficos sencillos de entrada y salida, sin detalle de IPs.
- tcpdump ofrece trazas completas de tráfico, pero requiere mucho más análisis.
- ntopng o Wireshark son más completos, pero también más pesados y pensados para análisis profundos.
La principal ventaja de iftop es que se ejecuta en segundos y consume recursos mínimos, lo que lo convierte en la herramienta perfecta para diagnósticos rápidos en producción.
Conclusión
Para un administrador de sistemas, iftop es el equivalente a un estetoscopio en manos de un médico: no resuelve por sí mismo el problema, pero ofrece la visión clara y directa necesaria para tomar decisiones rápidas. Su instalación sencilla, bajo consumo y precisión lo hacen imprescindible cuando los síntomas son difusos y el cliente no puede dar más detalles.
La próxima vez que alguien diga que “la red no va bien”, probablemente iftop te dé la respuesta antes que cualquier otra herramienta.
Preguntas frecuentes
1. ¿iftop guarda registros del tráfico?
No, iftop solo muestra tráfico en tiempo real y no almacena logs permanentes. Para registros históricos conviene usar herramientas como ntopng o Wireshark.
2. ¿Es posible limitar el tráfico con iftop?
No. iftop es únicamente de monitorización. Para limitar tráfico hay que usar herramientas como tc, iptables o nftables.
3. ¿Puedo usar iftop en un servidor remoto?
Sí, aunque para conexiones SSH puede resultar confuso porque verás tu propia sesión listada. Puedes filtrar o ignorar direcciones según la necesidad.
4. ¿iftop funciona en Windows o macOS?
No de manera nativa. Está diseñado para Linux/Unix, aunque puede compilarse en sistemas BSD y ejecutarse en macOS con Homebrew.
