Автор Тема: Монитор трафика darkstat  (Прочитано 2924 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ult

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 23
Монитор трафика darkstat
« : 01 Август 2016, 10:56:44 »
Есть шлюз. Надо мониторить трафик который через него ходит. Есть требование - наличие удобного вебинтерфейса.

Нашел простенькую darkstat

Установил, но к вебинтерфейсу подключиться не могу.

Лазил лазил в настройках, но не понятно что ей не нравится.

Когда присваиваю ей интерфейс который надо слушать, пишет следующее:

 4765: error: bind(0.0.0.0:667): Address already in use

В файле /etc/init.d/darkstat прописан нужный мне айпи 192,168,1,16
В файле /etc/darkstat/init.conf так же прописан тот же айпи

Порты кстати изменены на 666

Но почему он ругается на 0.0.0.0:667 ?

Не могу понять в чем дело, подскажите где что глянуть ?
 

Оффлайн sidbar

  • Старожил
  • ****
  • Сообщений: 621
  • Debian 7, lxde
Re: Монитор трафика darkstat
« Ответ #1 : 01 Август 2016, 12:02:32 »
Може порты блокируются на входе? В ошибке пишет что уже используется адрес. С точками прописан 192.168.1.16 ?
Devuan GNU/Linux 3 (beowulf) i686, LXDE
 

Оффлайн ult

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 23
Re: Монитор трафика darkstat
« Ответ #2 : 01 Август 2016, 12:04:22 »
как проверить доступность портов ?

Да, само собой с точками, это тут наскоряк написал.


Такое ощущение, что он не применяет конфиг.
 

Оффлайн ogost

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 3160
  • Linux Registered User #547151
Re: Монитор трафика darkstat
« Ответ #3 : 01 Август 2016, 12:31:00 »
netstat -ltn покажет какие порты слушаются какими демонами.

Cообщение объединено 01 Август 2016, 12:33:14
судя по гуглу нужно 4х значный порт использовать. например 8000 вместо 666 или 667

Оффлайн ult

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 23
Re: Монитор трафика darkstat
« Ответ #4 : 01 Август 2016, 12:36:26 »
667 слушается. Но о там просто "tcp"

Да и фиг с ним, я же в найстройках пишу порт 666, но о нем нету ни слова
 

Оффлайн ogost

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 3160
  • Linux Registered User #547151
Re: Монитор трафика darkstat
« Ответ #5 : 01 Август 2016, 12:44:07 »
от рута netstat -ltnp
ключ p выдаст pid процесса, использующего указанный порт. по нему вы сможете найти то, что слушает на порту 667.
Впрочем, неважно, в вашем случае кажется он не ночет использовать конфиги, которые вы ему указываете. Я сам с сим чудом не сталкивался, вы точно уверены, что нужно править именно в /etc/init.d ? обычно конфиги кладут в что-то вроде /etc/darkstat. И откуда ставили? Из репов?

Cообщение объединено 01 Август 2016, 12:46:22
беглый гуглеж показывает, что нужный вам конфиг лежит в /etc/darkstat/init.cfg, тот что в /etc/init.d верните в первоначальный вид.
И выкладывайте /etc/darkstat/init.cfg

Оффлайн ult

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 23
Re: Монитор трафика darkstat
« Ответ #6 : 01 Август 2016, 13:45:52 »
от рута netstat -ltnp
ключ p выдаст pid процесса, использующего указанный порт. по нему вы сможете найти то, что слушает на порту 667.
Впрочем, неважно, в вашем случае кажется он не ночет использовать конфиги, которые вы ему указываете. Я сам с сим чудом не сталкивался, вы точно уверены, что нужно править именно в /etc/init.d ? обычно конфиги кладут в что-то вроде /etc/darkstat. И откуда ставили? Из репов?

Cообщение объединено 01 Август 2016, 12:46:22
беглый гуглеж показывает, что нужный вам конфиг лежит в /etc/darkstat/init.cfg, тот что в /etc/init.d верните в первоначальный вид.
И выкладывайте /etc/darkstat/init.cfg

Ставил из репов, /etc/darkstat/init.cfg - был исправлен самым первым делом
Вот он:
"START_DARKSTAT=yes                     
INTERFACE="-i eth0"                     
PORT="-p 8000"                           
BINDIP="-b 192.168.8.16"                 
"
Конфиг в /etc/init.d/darkstat был правлен уже от безысходности.

Рестартил сервис даркстат, рестартил всю машину полностью - результата нет, подключение по вебинтерфейсу нет. Маленько запутался с этим, как писалось "совершенно не требующим настроек" демоном.

Cообщение объединено 01 Август 2016, 15:56:51
Братики, что делать то ? :(
« Последнее редактирование: 01 Август 2016, 15:56:51 от ult »
 

Оффлайн sidbar

  • Старожил
  • ****
  • Сообщений: 621
  • Debian 7, lxde
Re: Монитор трафика darkstat
« Ответ #7 : 01 Август 2016, 16:52:47 »
как проверить доступность портов ?
Программа nmap, ее надо запускать с машины клиента.
Devuan GNU/Linux 3 (beowulf) i686, LXDE
 

Оффлайн ult

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 23
Re: Монитор трафика darkstat
« Ответ #8 : 02 Август 2016, 06:56:35 »
Да с портами всё норм, программа эта не применяет конфиг.
 

Оффлайн ogost

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 3160
  • Linux Registered User #547151
Re: Монитор трафика darkstat
« Ответ #9 : 02 Август 2016, 07:03:06 »
эксперимента ради поставил darkstat на локалхост, у меня все конфиги подхватываются.
 
BINDIP="-b 192.168.8.16"
это у вас что за айпишник? по идее это должен быть айпишник хоста, на котором усатновлен darkstat.


Cообщение объединено 02 Август 2016, 07:06:16
что за лишние кавычки в начале и в конце?.

Cообщение объединено 02 Август 2016, 07:11:04
вот мой рабочий конфиг:
# Turn this to yes when you have configured the options below.
START_DARKSTAT=yes

# Don't forget to read the man page.

# You must set this option, else darkstat may not listen to
# the interface you want
INTERFACE="-i eth1"

DIR="/var/lib/darkstat"
PORT="-p 8000"
BINDIP="-b 10.0.10.182"
LOCAL="-l 10.0.10.0/255.255.255.0"

# File will be relative to $DIR:
#DAYLOG="--daylog darkstat.log"

# Don't reverse resolve IPs to host names
#DNS="--no-dns"

#FILTER="not (src net 192.168.0 and dst net 192.168.0)"

# Additional command line Arguments:
# OPTIONS="--syslog --no-macs"

Оффлайн ult

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 23
Re: Монитор трафика darkstat
« Ответ #10 : 02 Август 2016, 10:29:02 »
эксперимента ради поставил darkstat на локалхост, у меня все конфиги подхватываются.

Спасибо вам огромное, что жертвуете временем и пытаетесь мне помочь !

это у вас что за айпишник? по идее это должен быть айпишник хоста, на котором усатновлен darkstat.

Cообщение объединено Сегодня в 07:06:16

Да, так и есть, это айпи шлюза на котором надо мониторить трафик и куда я установил даркстат.

что за лишние кавычки в начале и в конце?.

Это только для поста добавил, начало и конец конфига :) В самом конфиге их нет.

вот мой рабочий конфиг:

Скопировал его, заменил айпишники.

Далее вот что:
root:/etc# service darkstat restart
Restarting darkstat network daemon : darkstat No darkstat found running; none killed.
stoped.
.
root:/etc# service darkstat start
Starting darkstat network daemon : darkstat  is already running.

root:/etc# darkstat -i eth1

darkstat 3.0.708 (built with libpcap 2.4)
darkstat (17389): max 1000 hosts, cutting down to 500 when exceeded
darkstat (17389): max 200 ports per host, cutting down to 30 when exceeded
darkstat (17389): starting up
darkstat (17389): daemonizing to run in the background!
darkstat (17389): parent waiting
darkstat (17390): I am the main process
darkstat (17390): DNS child has PID 17391
darkstat (17391): set uid/gid to 65534/65534
darkstat (17390): caplen is 54
darkstat (17390): capturing in promiscuous mode
17390: error: bind(0.0.0.0:667): Address already in use
darkstat (17389): parent done reading, calling waitpid
darkstat (17389): waitpid ret 0, status is -1218670768

root:/etc# service darkstat stop
Stopping darkstat network daemon : darkstat .

root:/etc# service darkstat start
Starting darkstat network daemon : darkstat  is already running.
Пытаюсь подсоединиться по веб интерфейсу "192.168.1.16:8000" - не конектит.

Присваиваю слушать интерфейс eth1:

и в итоге тоже самое, ничего не изменилось

"17489: error: bind(0.0.0.0:667): Address already in use"

Я понять не могу, почему так ? :(
« Последнее редактирование: 02 Август 2016, 11:45:16 от ogost »
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1986
  • Новосибирск
Re: Монитор трафика darkstat
« Ответ #11 : 02 Август 2016, 11:23:54 »
ult, вам уже говорили выше, что файл /etc/init.d/darkstat трогать не нужно!
показывайте head -n 50 /etc/init.d/darkstat

Оффлайн ult

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 23
Re: Монитор трафика darkstat
« Ответ #12 : 02 Август 2016, 11:49:03 »
ult, вам уже говорили выше, что файл /etc/init.d/darkstat трогать не нужно!

Пока ждал ответа, решил удалить демона apt-get remove darkstat и поставить заного apt-get install darkstat, теперь у меня нету ни "/etc/init.d/darkstat " ни "/etc/darkstat/init.d"

Накосячил короче :(

Я подумал что переустановлю его, конфиг /etc/init.d/darkstat - сброситься на по умолчанию....

как быть ?
 

Оффлайн ogost

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 3160
  • Linux Registered User #547151
Re: Монитор трафика darkstat
« Ответ #13 : 02 Август 2016, 11:53:19 »
oO это вы как умудрились? пакет darkstat точно установлен?
dpkg -l darkstat

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1986
  • Новосибирск
Re: Монитор трафика darkstat
« Ответ #14 : 02 Август 2016, 11:59:38 »
apt-get purge darkstat && apt-get install darkstat

Теги: