Ntop - установка и настройка в Gentoo: различия между версиями
ALEX (обсуждение | вклад) |
ALEX (обсуждение | вклад) |
||
| Строка 24: | Строка 24: | ||
==Настройка и разбор некоторых флагов команды== | ==Настройка и разбор некоторых флагов команды== | ||
Запускать ntop можно как просто обычную консольную команду с параметрами, либо через стандартный гентовский механизм. | |||
Рассмотрим второй вариант. Для этого необходимо открыть на правку файл {{Path|/etc/conf.d/ntop}} | |||
{{Root|nano /etc/conf.d/ntop}} | |||
У меня его содержимое получилось вот таким: | |||
{{File|/etc/conf.d/ntop|<pre> | |||
# Config file for /etc/init.d/ntop | |||
# Set preferred options here | |||
NTOP_OPTS="--output-packet-path /var/lib/ntop/output.packets --local-subnet "192.168.0.0/16" | |||
--interface "lo,eth0,eth1,ppp0" --no-interface-merge --access-log-file /var/log/ntop.log | |||
--user ntop --db-file-path /var/lib/ntop --http-server 0 --https-server 3000" | |||
#--daemon --use-syslog | |||
</pre>}} | |||
Рассмотрим более подобно, что означает кажда опция. | |||
{{Codeline|--output-packet-path}} путь, где хранится дамп пактов ntop'а - '''ntop-suspicious-pkts.XXX.pcap''' и пакеты '''normal'''. | |||
{{Note|Все указанные сдесь пути должны быть во-первых созданны, а во-вторых они должны иметь права для чтения, записи и выполнения (для директорий) для пользователя ntop из группы root}} | |||
{{Codeline|--local-subnet}} по умолчанию ntop, считывая маску и ip со всех активных интерфейсов компьютера, считает их локальными. Для отдельного указания подсетей, чей трафик так же будет считаться локальным можно использовать этот параметр. По идее добавлять адреса из диапазона 192.168.0.0/255.255.0.0 большого смысла не имело, но я вставил на всякий случай. | |||
{{Note|IP и маску можно задать так же и в таком формате - 192.168.1.0/255.255.255.0}} | |||
{{Codeline|--interface}} - интерфейсы, которые слушает Ntop. По умолчания он слушает первый интерфейс в системе. | |||
{{Note|Если перечисленно несколько интерфейсов, то Ntop будет считать их единым целым и объединит весь их трафик. Для того, чтобы разбить трафик по интерфейсам, необходимо использовать опцию --no-interface-merge}} | |||
{{Codeline|--no-interface-merge}} опция разделяет трафик между интерфейсами, при условии, что мониторится несколько штук интерфейсов. Полезно, чтобы оценить к примеру LAN трафик и DMZ трафик. | |||
{{Note|В веб отчёте за раз показывается лишь 1 интерфейс, для переключения на другой можно использовать ссылку '''Switch''' рядом с именем интерфейса или в панели администрированич - '''<nowiki>Admin|Switch NIC</nowiki>'''}} | |||
==Ссылки== | ==Ссылки== | ||
Версия 08:14, 19 декабря 2008
Ntop - это программа, которая ловит пакеты на уровне net layer2 (к примеру PPP) и net layer3 (к примеру ICMP) и помогает их анализировать, тем самым следя за тем, какие компьютеры окружают вас, что из себя представляют эти хосты, какой поток трафика идёт через них, вас и т.д. Обладая встроенным веб сервером, способным работать как по обычному http, так и по https протоколам, Ntop генерирует отличные отчёты в виде веб страничек. Получается что-то типа упрощённого снифера с представлением данных пользователю в виде веб-отчётов.
Установка в Gentoo
Программа настолько популярная и мощная, что естественно она находится в репозитарии. Для установки сверим USE флаги:
Use Flags: ipv6 nls snmp ssl zlib -tcpd (?)
После этого можно попробовать запустить Ntop:
Для добавления в автозапуск стандартно используем:
Далее приступаем к настройке Ntop.
Настройка и разбор некоторых флагов команды
Запускать ntop можно как просто обычную консольную команду с параметрами, либо через стандартный гентовский механизм.
Рассмотрим второй вариант. Для этого необходимо открыть на правку файл /etc/conf.d/ntop
У меня его содержимое получилось вот таким:
# Config file for /etc/init.d/ntop # Set preferred options here NTOP_OPTS="--output-packet-path /var/lib/ntop/output.packets --local-subnet "192.168.0.0/16" --interface "lo,eth0,eth1,ppp0" --no-interface-merge --access-log-file /var/log/ntop.log --user ntop --db-file-path /var/lib/ntop --http-server 0 --https-server 3000" #--daemon --use-syslog
Рассмотрим более подобно, что означает кажда опция.
--output-packet-path путь, где хранится дамп пактов ntop'а - ntop-suspicious-pkts.XXX.pcap и пакеты normal.
--local-subnet по умолчанию ntop, считывая маску и ip со всех активных интерфейсов компьютера, считает их локальными. Для отдельного указания подсетей, чей трафик так же будет считаться локальным можно использовать этот параметр. По идее добавлять адреса из диапазона 192.168.0.0/255.255.0.0 большого смысла не имело, но я вставил на всякий случай.
--interface - интерфейсы, которые слушает Ntop. По умолчания он слушает первый интерфейс в системе.
--no-interface-merge опция разделяет трафик между интерфейсами, при условии, что мониторится несколько штук интерфейсов. Полезно, чтобы оценить к примеру LAN трафик и DMZ трафик.
