Ntop - установка и настройка в Gentoo
Ntop - это программа, которая ловит пакеты на уровне net layer2 (к примеру PPP) и net layer3 (к примеру ICMP) и помогает их анализировать, тем самым следя за тем, какие компьютеры окружают вас, что из себя представляют эти хосты, какой поток трафика идёт через них, вас и т.д. Обладая встроенным веб сервером, способным работать как по обычному http, так и по https протоколам, Ntop генерирует отличные отчёты в виде веб страничек. Получается что-то типа упрощённого снифера с представлением данных пользователю в виде веб-отчётов.
Установка в Gentoo
Программа настолько популярная и мощная, что естественно она находится в репозитарии. Для установки сверим USE флаги:
Use Flags: ipv6 nls snmp ssl zlib -tcpd (?)
После этого можно попробовать запустить Ntop:
Для добавления в автозапуск стандартно используем:
Далее приступаем к настройке Ntop.
Настройка и разбор некоторых флагов команды
Запускать ntop можно как просто обычную консольную команду с параметрами, либо через стандартный гентовский механизм.
Рассмотрим второй вариант. Для этого необходимо открыть на правку файл /etc/conf.d/ntop
У меня его содержимое получилось вот таким:
# Config file for /etc/init.d/ntop # Set preferred options here NTOP_OPTS="--output-packet-path /var/lib/ntop/output.packets --local-subnet "192.168.0.0/16" --interface "lo,eth0,eth1,ppp0" --no-interface-merge --access-log-file /var/log/ntop.log --user ntop --db-file-path /var/lib/ntop --http-server 0 --https-server 3000" #--daemon --use-syslog
Рассмотрим более подобно, что означает кажда опция.
--output-packet-path путь, где хранится дамп пакетов ntop'а - ntop-suspicious-pkts.XXX.pcap и пакеты normal.
--local-subnet по умолчанию ntop, считывая маску и ip со всех активных интерфейсов компьютера, считает их локальными. Для отдельного указания подсетей, чей трафик так же будет считаться локальным можно использовать этот параметр. По идее добавлять адреса из диапазона 192.168.0.0/255.255.0.0 большого смысла не имело, но я вставил на всякий случай.
--interface - интерфейсы, которые слушает Ntop. По умолчания он слушает первый интерфейс в системе.
--no-interface-merge опция разделяет трафик между интерфейсами, при условии, что мониторится несколько штук интерфейсов. Полезно, чтобы оценить к примеру LAN трафик и DMZ трафик.
--access-log-file путь, куда ntop будет записывать логи доступа к своемы встроенному веб серверу. Логи ведуться в стиле апача, добавляется разьве что время в мс}}
--user пользователь от чьего имени будет работать ntop.
--db-file-path путь, где Ntop будет хранить свои базы данных с постоянными и временными записями.
--http-server Включить или отключить внутренний http сервер. Для его активации достаточно задать порт, который он будет слушать. В моём случае он отключён. --https-server Включить или отключить внутренний https сервер. Для его активации достаточно задать порт, который он будет слушать. В моём случае он включён и слушает порт 3000.
Ну и так же я опишу 2 параметра, которые у меня закоментированны, т.к. я пользуюсь командой
для старта Ntop и она автоматом сама их подставляет.
--daemon Перевод Ntop в режим демона, когда он не связан с консолью. Для успешной односторонней связи с ним необходимо использовать следующий параметр. --use-syslog этот параметр задаёт куда будут посылаться сообщения от ntop если он запущен, к примеру, в режиме демона вместо того, чтобы слать их в stdOut.
После настройки Ntop делаем его старт
и проверям по адресу http(s)://IP:PORT.
Ссылки
- сетевые протоколы
- оффициальный сайт программы
- ман по Ntop - собственно по нему я и делал данную статью. Наверно можно и просто man ntop.