Монитор трафика darkstat

ult · 01 августа 2016, 10:56:44

Есть шлюз. Надо мониторить трафик который через него ходит. Есть требование - наличие удобного вебинтерфейса.

Нашел простенькую darkstat

Установил, но к вебинтерфейсу подключиться не могу.

Лазил лазил в настройках, но не понятно что ей не нравится.

Когда присваиваю ей интерфейс который надо слушать, пишет следующее:

4765: error: bind(0.0.0.0:667): Address already in use

В файле /etc/init.d/darkstat прописан нужный мне айпи 192,168,1,16
В файле /etc/darkstat/init.conf так же прописан тот же айпи

Порты кстати изменены на 666

Но почему он ругается на 0.0.0.0:667 ?

Не могу понять в чем дело, подскажите где что глянуть ?

sidbar · 01 августа 2016, 12:02:32

Може порты блокируются на входе? В ошибке пишет что уже используется адрес. С точками прописан 192.168.1.16 ?

ult · 01 августа 2016, 12:04:22

как проверить доступность портов ?

Да, само собой с точками, это тут наскоряк написал.

Такое ощущение, что он не применяет конфиг.

ogost · 01 августа 2016, 12:31:00

netstat -ltn покажет какие порты слушаются какими демонами.

Cообщение объединено 01 августа 2016, 12:33:14

судя по гуглу нужно 4х значный порт использовать. например 8000 вместо 666 или 667

ult · 01 августа 2016, 12:36:26

667 слушается. Но о там просто "tcp"

Да и фиг с ним, я же в найстройках пишу порт 666, но о нем нету ни слова

ogost · 01 августа 2016, 12:44:07

от рута netstat -ltnp
ключ p выдаст pid процесса, использующего указанный порт. по нему вы сможете найти то, что слушает на порту 667.
Впрочем, неважно, в вашем случае кажется он не ночет использовать конфиги, которые вы ему указываете. Я сам с сим чудом не сталкивался, вы точно уверены, что нужно править именно в /etc/init.d ? обычно конфиги кладут в что-то вроде /etc/darkstat. И откуда ставили? Из репов?

Cообщение объединено 01 августа 2016, 12:46:22

беглый гуглеж показывает, что нужный вам конфиг лежит в /etc/darkstat/init.cfg, тот что в /etc/init.d верните в первоначальный вид.
И выкладывайте /etc/darkstat/init.cfg

ult · 01 августа 2016, 13:45:52

Цитата: ogost от 01 августа 2016, 12:44:07
от рута netstat -ltnp
ключ p выдаст pid процесса, использующего указанный порт. по нему вы сможете найти то, что слушает на порту 667.
Впрочем, неважно, в вашем случае кажется он не ночет использовать конфиги, которые вы ему указываете. Я сам с сим чудом не сталкивался, вы точно уверены, что нужно править именно в /etc/init.d ? обычно конфиги кладут в что-то вроде /etc/darkstat. И откуда ставили? Из репов?
Cообщение объединено 01 августа 2016, 12:46:22

беглый гуглеж показывает, что нужный вам конфиг лежит в /etc/darkstat/init.cfg, тот что в /etc/init.d верните в первоначальный вид.
И выкладывайте /etc/darkstat/init.cfg

Ставил из репов, /etc/darkstat/init.cfg - был исправлен самым первым делом
Вот он:
"START_DARKSTAT=yes
INTERFACE="-i eth0"
PORT="-p 8000"
BINDIP="-b 192.168.8.16"
"
Конфиг в /etc/init.d/darkstat был правлен уже от безысходности.

Рестартил сервис даркстат, рестартил всю машину полностью - результата нет, подключение по вебинтерфейсу нет. Маленько запутался с этим, как писалось "совершенно не требующим настроек" демоном.

Cообщение объединено 01 августа 2016, 15:56:51

Братики, что делать то ?

sidbar · 01 августа 2016, 16:52:47

Цитата: ult от 01 августа 2016, 12:04:22как проверить доступность портов ?

Программа nmap, ее надо запускать с машины клиента.

ult · 02 августа 2016, 06:56:35

Да с портами всё норм, программа эта не применяет конфиг.

ogost · 02 августа 2016, 07:03:06

эксперимента ради поставил darkstat на локалхост, у меня все конфиги подхватываются.

Цитата: ult от 01 августа 2016, 13:45:52BINDIP="-b 192.168.8.16"

это у вас что за айпишник? по идее это должен быть айпишник хоста, на котором усатновлен darkstat.

Cообщение объединено 02 августа 2016, 07:06:16

что за лишние кавычки в начале и в конце?.

Cообщение объединено 02 августа 2016, 07:11:04

вот мой рабочий конфиг:

Код Выделить

# Turn this to yes when you have configured the options below.
START_DARKSTAT=yes

# Don't forget to read the man page.

# You must set this option, else darkstat may not listen to
# the interface you want
INTERFACE="-i eth1"

DIR="/var/lib/darkstat"
PORT="-p 8000"
BINDIP="-b 10.0.10.182"
LOCAL="-l 10.0.10.0/255.255.255.0"

# File will be relative to $DIR:
#DAYLOG="--daylog darkstat.log"

# Don't reverse resolve IPs to host names
#DNS="--no-dns"

#FILTER="not (src net 192.168.0 and dst net 192.168.0)"

# Additional command line Arguments:
# OPTIONS="--syslog --no-macs"

ult · 02 августа 2016, 10:29:02

Цитата: ogost от 02 августа 2016, 07:03:06эксперимента ради поставил darkstat на локалхост, у меня все конфиги подхватываются.

Спасибо вам огромное, что жертвуете временем и пытаетесь мне помочь !

Цитата: ogost от 02 августа 2016, 07:03:06это у вас что за айпишник? по идее это должен быть айпишник хоста, на котором усатновлен darkstat.

Cообщение объединено Сегодня в 07:06:16

Да, так и есть, это айпи шлюза на котором надо мониторить трафик и куда я установил даркстат.

Цитата: ogost от 02 августа 2016, 07:03:06что за лишние кавычки в начале и в конце?.

Это только для поста добавил, начало и конец конфига

В самом конфиге их нет.

Цитата: ogost от 02 августа 2016, 07:03:06вот мой рабочий конфиг:

Скопировал его, заменил айпишники.

Далее вот что:

Код Выделить


root:/etc# service darkstat restart
Restarting darkstat network daemon : darkstat No darkstat found running; none killed.
stoped.
.
root:/etc# service darkstat start
Starting darkstat network daemon : darkstat  is already running.

root:/etc# darkstat -i eth1

darkstat 3.0.708 (built with libpcap 2.4)
darkstat (17389): max 1000 hosts, cutting down to 500 when exceeded
darkstat (17389): max 200 ports per host, cutting down to 30 when exceeded
darkstat (17389): starting up
darkstat (17389): daemonizing to run in the background!
darkstat (17389): parent waiting
darkstat (17390): I am the main process
darkstat (17390): DNS child has PID 17391
darkstat (17391): set uid/gid to 65534/65534
darkstat (17390): caplen is 54
darkstat (17390): capturing in promiscuous mode
17390: error: bind(0.0.0.0:667): Address already in use
darkstat (17389): parent done reading, calling waitpid
darkstat (17389): waitpid ret 0, status is -1218670768

root:/etc# service darkstat stop
Stopping darkstat network daemon : darkstat .

root:/etc# service darkstat start
Starting darkstat network daemon : darkstat  is already running.

Пытаюсь подсоединиться по веб интерфейсу "192.168.1.16:8000" - не конектит.

Присваиваю слушать интерфейс eth1:

и в итоге тоже самое, ничего не изменилось

"17489: error: bind(0.0.0.0:667): Address already in use"

Я понять не могу, почему так ?

endru · 02 августа 2016, 11:23:54

ult, вам уже говорили выше, что файл /etc/init.d/darkstat трогать не нужно!
показывайте

Код Выделить

head -n 50 /etc/init.d/darkstat

ult · 02 августа 2016, 11:49:03

Цитата: endru от 02 августа 2016, 11:23:54ult, вам уже говорили выше, что файл /etc/init.d/darkstat трогать не нужно!

Пока ждал ответа, решил удалить демона apt-get remove darkstat и поставить заного apt-get install darkstat, теперь у меня нету ни "/etc/init.d/darkstat " ни "/etc/darkstat/init.d"

Накосячил короче

Я подумал что переустановлю его, конфиг /etc/init.d/darkstat - сброситься на по умолчанию....

как быть ?

ogost · 02 августа 2016, 11:53:19

oO это вы как умудрились? пакет darkstat точно установлен?

Код Выделить

dpkg -l darkstat

endru · 02 августа 2016, 11:59:38

Код Выделить

apt-get purge darkstat && apt-get install darkstat