Монитор трафика darkstat

[ult]

Есть шлюз. Надо мониторить трафик который через него ходит. Есть требование - наличие удобного вебинтерфейса.

Нашел простенькую darkstat

Установил, но к вебинтерфейсу подключиться не могу.

Лазил лазил в настройках, но не понятно что ей не нравится.

Когда присваиваю ей интерфейс который надо слушать, пишет следующее:

 4765: error: bind(0.0.0.0:667): Address already in use

В файле /etc/init.d/darkstat прописан нужный мне айпи 192,168,1,16
В файле /etc/darkstat/init.conf так же прописан тот же айпи

Порты кстати изменены на 666

Но почему он ругается на 0.0.0.0:667 ?

Не могу понять в чем дело, подскажите где что глянуть ?

[sidbar]

Може порты блокируются на входе? В ошибке пишет что уже используется адрес. С точками прописан 192.168.1.16 ?

[ult]

как проверить доступность портов ?

Да, само собой с точками, это тут наскоряк написал.


Такое ощущение, что он не применяет конфиг.

[ogost]

netstat -ltn покажет какие порты слушаются какими демонами.
Cообщение объединено 01 Августа 2016, 12:33:14судя по гуглу нужно 4х значный порт использовать. например 8000 вместо 666 или 667

[ult]

667 слушается. Но о там просто "tcp"

Да и фиг с ним, я же в найстройках пишу порт 666, но о нем нету ни слова

[ogost]

от рута netstat -ltnp
ключ p выдаст pid процесса, использующего указанный порт. по нему вы сможете найти то, что слушает на порту 667.
Впрочем, неважно, в вашем случае кажется он не ночет использовать конфиги, которые вы ему указываете. Я сам с сим чудом не сталкивался, вы точно уверены, что нужно править именно в /etc/init.d ? обычно конфиги кладут в что-то вроде /etc/darkstat. И откуда ставили? Из репов?
Cообщение объединено 01 Августа 2016, 12:46:22беглый гуглеж показывает, что нужный вам конфиг лежит в /etc/darkstat/init.cfg, тот что в /etc/init.d верните в первоначальный вид.
И выкладывайте /etc/darkstat/init.cfg

[ult]

от рута netstat -ltnp
ключ p выдаст pid процесса, использующего указанный порт. по нему вы сможете найти то, что слушает на порту 667.
Впрочем, неважно, в вашем случае кажется он не ночет использовать конфиги, которые вы ему указываете. Я сам с сим чудом не сталкивался, вы точно уверены, что нужно править именно в /etc/init.d ? обычно конфиги кладут в что-то вроде /etc/darkstat. И откуда ставили? Из репов?
Cообщение объединено 01 Августа 2016, 12:46:22беглый гуглеж показывает, что нужный вам конфиг лежит в /etc/darkstat/init.cfg, тот что в /etc/init.d верните в первоначальный вид.
И выкладывайте /etc/darkstat/init.cfg

Ставил из репов, /etc/darkstat/init.cfg - был исправлен самым первым делом
Вот он:
"START_DARKSTAT=yes                     
INTERFACE="-i eth0"                     
PORT="-p 8000"                           
BINDIP="-b 192.168.8.16"                 
"
Конфиг в /etc/init.d/darkstat был правлен уже от безысходности.

Рестартил сервис даркстат, рестартил всю машину полностью - результата нет, подключение по вебинтерфейсу нет. Маленько запутался с этим, как писалось "совершенно не требующим настроек" демоном.
Cообщение объединено 01 Августа 2016, 15:56:51Братики, что делать то ?

[sidbar]

как проверить доступность портов ?

Программа nmap, ее надо запускать с машины клиента.

[ult]

Да с портами всё норм, программа эта не применяет конфиг.

[ogost]

эксперимента ради поставил darkstat на локалхост, у меня все конфиги подхватываются.
 

BINDIP="-b 192.168.8.16"

это у вас что за айпишник? по идее это должен быть айпишник хоста, на котором усатновлен darkstat.

Cообщение объединено 02 Августа 2016, 07:06:16что за лишние кавычки в начале и в конце?.
Cообщение объединено 02 Августа 2016, 07:11:04вот мой рабочий конфиг:

Код: [Выделить]

# Turn this to yes when you have configured the options below.
START_DARKSTAT=yes

# Don't forget to read the man page.

# You must set this option, else darkstat may not listen to
# the interface you want
INTERFACE="-i eth1"

DIR="/var/lib/darkstat"
PORT="-p 8000"
BINDIP="-b 10.0.10.182"
LOCAL="-l 10.0.10.0/255.255.255.0"

# File will be relative to $DIR:
#DAYLOG="--daylog darkstat.log"

# Don't reverse resolve IPs to host names
#DNS="--no-dns"

#FILTER="not (src net 192.168.0 and dst net 192.168.0)"

# Additional command line Arguments:
# OPTIONS="--syslog --no-macs"


[ult]

эксперимента ради поставил darkstat на локалхост, у меня все конфиги подхватываются.

Спасибо вам огромное, что жертвуете временем и пытаетесь мне помочь !

это у вас что за айпишник? по идее это должен быть айпишник хоста, на котором усатновлен darkstat.

Cообщение объединено Сегодня в 07:06:16

Да, так и есть, это айпи шлюза на котором надо мониторить трафик и куда я установил даркстат.

что за лишние кавычки в начале и в конце?.

Это только для поста добавил, начало и конец конфига В самом конфиге их нет.

вот мой рабочий конфиг:

Скопировал его, заменил айпишники.

Далее вот что:

Код: [Выделить]

root:/etc# service darkstat restart
Restarting darkstat network daemon : darkstat No darkstat found running; none killed.
stoped.
.
root:/etc# service darkstat start
Starting darkstat network daemon : darkstat  is already running.

root:/etc# darkstat -i eth1

darkstat 3.0.708 (built with libpcap 2.4)
darkstat (17389): max 1000 hosts, cutting down to 500 when exceeded
darkstat (17389): max 200 ports per host, cutting down to 30 when exceeded
darkstat (17389): starting up
darkstat (17389): daemonizing to run in the background!
darkstat (17389): parent waiting
darkstat (17390): I am the main process
darkstat (17390): DNS child has PID 17391
darkstat (17391): set uid/gid to 65534/65534
darkstat (17390): caplen is 54
darkstat (17390): capturing in promiscuous mode
17390: error: bind(0.0.0.0:667): Address already in use
darkstat (17389): parent done reading, calling waitpid
darkstat (17389): waitpid ret 0, status is -1218670768

root:/etc# service darkstat stop
Stopping darkstat network daemon : darkstat .

root:/etc# service darkstat start
Starting darkstat network daemon : darkstat  is already running.
Пытаюсь подсоединиться по веб интерфейсу "192.168.1.16:8000" - не конектит.

Присваиваю слушать интерфейс eth1:

и в итоге тоже самое, ничего не изменилось

"17489: error: bind(0.0.0.0:667): Address already in use"

Я понять не могу, почему так ?

[endru]

ult, вам уже говорили выше, что файл /etc/init.d/darkstat трогать не нужно!
показывайте

Код: [Выделить]

head -n 50 /etc/init.d/darkstat

[ult]

ult, вам уже говорили выше, что файл /etc/init.d/darkstat трогать не нужно!

Пока ждал ответа, решил удалить демона apt-get remove darkstat и поставить заного apt-get install darkstat, теперь у меня нету ни "/etc/init.d/darkstat " ни "/etc/darkstat/init.d"

Накосячил короче

Я подумал что переустановлю его, конфиг /etc/init.d/darkstat - сброситься на по умолчанию....

как быть ?

[ogost]

oO это вы как умудрились? пакет darkstat точно установлен?

Код: [Выделить]

dpkg -l darkstat

[endru]

Код: [Выделить]

apt-get purge darkstat && apt-get install darkstat