Come installare ntopng su Debian 12

Su Debian 12 ntopng non si installa bene “a memoria”: conviene partire dai repository giusti, verificare la versione disponibile e decidere subito quale interfaccia di rete vuoi monitorare. Se sbagli questo punto, ti ritrovi con un servizio avviato ma cieco, oppure con permessi insufficienti a leggere il traffico.

Prerequisiti realistici prima di toccare il pacchetto

ntopng lavora meglio quando il sistema è pulito: Debian 12 aggiornato, accesso root o sudo, una rete stabile e un’interfaccia che vedi già con gli strumenti base. Non serve complicarsi la vita con tuning aggressivo all’inizio; prima fai vedere al demone il traffico, poi ottimizzi.

Verifica il nome dell’interfaccia che vuoi monitorare e assicurati che il sistema la veda davvero:

ip link show
ip addr show

Se stai lavorando su una VM, su un host con bonding o su una macchina dietro virtual switch, il nome dell’interfaccia può non essere quello che ti aspetti. Questo è uno degli errori più comuni: installazione formalmente corretta, ma nessun dato in dashboard perché hai puntato il device sbagliato.

Aggiungere il repository ntop su Debian 12

Su Debian conviene usare il repository ufficiale di ntop, così eviti di inseguire versioni vecchie o pacchetti incompleti. Prima aggiorna gli indici e installa i tool di base per trasporto HTTPS e gestione chiavi.

sudo apt update
sudo apt install -y curl gnupg ca-certificates lsb-release

Poi aggiungi la chiave e il repository. Il metodo preciso può cambiare nel tempo, quindi il punto non è copiare ciecamente un comando trovato anni fa: il punto è verificare la sorgente ufficiale e il campo distribuzione corretto per Debian 12, cioè bookworm.

curl -fsSL https://packages.ntop.org/apt/ntop.key | sudo gpg --dearmor -o /usr/share/keyrings/ntop.gpg
echo "deb [signed-by=/usr/share/keyrings/ntop.gpg] http://packages.ntop.org/apt/bookworm/ bookworm main" | sudo tee /etc/apt/sources.list.d/ntop.list
sudo apt update

Se apt update segnala errori di firma o repository non raggiungibile, fermati lì. Non ha senso installare mezzo stack con indici rotti. In quel caso controlla con:

apt-cache policy ntopng
apt update 2>&1 | tail -n 30

Installazione dei pacchetti principali

Per un’installazione base servono ntopng e, in molti casi, il motore di storage locale. Su Debian 12 il pacchetto più utile resta quasi sempre ntopng; se vuoi conservare storico e statistiche in modo più robusto, valuta anche componenti aggiuntivi supportati dalla tua versione del repository.

sudo apt install -y ntopng

Al termine, verifica che i file siano arrivati dove ti aspetti:

dpkg -L ntopng | head -n 40
systemctl status ntopng --no-pager

Se il servizio non parte subito, non è automaticamente un problema di installazione. Molto spesso manca la configurazione minima o l’interfaccia indicata nel file di servizio non esiste su quella macchina.

Configurare ntopng per leggere il traffico giusto

La configurazione vive in genere in /etc/ntopng/ntopng.conf o in un file equivalente richiamato dal servizio systemd. Prima di modificare, fai una copia. È una banalità solo finché non devi tornare indietro in 30 secondi.

sudo cp -a /etc/ntopng/ntopng.conf /etc/ntopng/ntopng.conf.bak.$(date +%F-%H%M)

Un file minimo per monitorare una singola interfaccia può essere questo:

-i=ens18
-w=3000
--http-port=3000

Il parametro -i indica l’interfaccia da catturare, -w la porta web dell’interfaccia di amministrazione, mentre --http-port chiarisce esplicitamente dove ascolta il frontend. Se la tua distro o il pacchetto usa un file diverso, il concetto non cambia: un’interfaccia valida, una porta libera, un servizio che può leggere i pacchetti.

Se non sai ancora quale interfaccia usare, fai un controllo incrociato con una cattura minima:

sudo tcpdump -i ens18 -c 10

Se non vedi traffico, hai scelto l’interfaccia sbagliata o stai guardando un host che non passa realmente dai pacchetti che vuoi osservare. In ambienti virtualizzati è un classico: vedi la NIC, ma il flusso utile passa altrove.

Avvio con systemd e controllo del servizio

Una volta sistemata la configurazione, ricarica systemd e avvia ntopng. Se il servizio è già presente ma in stato fallito, leggi i log prima di rilanciare più volte a caso.

sudo systemctl daemon-reload
sudo systemctl enable --now ntopng
sudo systemctl status ntopng --no-pager
journalctl -u ntopng -b --no-pager | tail -n 100

Gli errori più frequenti qui sono tre: porta occupata, file di configurazione con sintassi errata, permessi insufficienti sulla cattura. La diagnostica rapida è semplice: se il log parla di bind fallito, guarda la porta; se parla di parsing, guarda il file; se parla di capture permission, vai sui capability o sull’utente di esecuzione.

Per controllare se la porta web è in ascolto:

ss -ltnp | grep 3000

Se non compare nulla, il servizio non è arrivato al listener. Se compare un altro processo, cambia porta o ferma il conflitto. Non forzare il restart all’infinito: non risolve nulla e sporca i log.

Accesso alla dashboard e primo login

Con il servizio attivo, apri il browser verso http://IP-SERVER:3000. Alla prima apertura, la UI può chiedere credenziali o presentare una procedura iniziale. Se stai esponendo l’interfaccia su una rete non fidata, non lasciare il servizio nudo su Internet: mettilo dietro firewall, reverse proxy autenticato o almeno una ACL restrittiva.

Verifica dal lato server che la risposta HTTP esista davvero:

curl -I http://127.0.0.1:3000

Se ricevi un 200 o un redirect coerente, il frontend è vivo. Se ottieni connection refused, il demone non ascolta. Se ottieni timeout, controlla firewall locale o binding su indirizzo sbagliato.

Permessi di cattura: il punto che rompe più spesso

ntopng deve leggere pacchetti. Su Linux moderno questo significa che non basta avere il servizio acceso: servono privilegi adeguati, capability o un meccanismo equivalente previsto dal pacchetto. Non dare più permessi del necessario e non esporre un demone di analisi con privilegi inutili se puoi evitarlo.

Se il log mostra errori di accesso alla capture, controlla l’utente del servizio e la sua configurazione:

systemctl cat ntopng
id ntopng

In alcuni casi è utile verificare se il binario ha capability impostate o se il pacchetto si appoggia a un gruppo specifico. Non improvvisare con chmod 777 o privilegi globali: è una scorciatoia che crea solo un problema di sicurezza più grosso di quello che stai cercando di risolvere.

Firewall, esposizione e superficie d’attacco

La UI di ntopng non va esposta senza criterio. La porta 3000 è comoda in laboratorio, ma in produzione va trattata come qualsiasi servizio amministrativo: accesso limitato, autenticazione, e idealmente passaggio da rete di management o reverse proxy con TLS.

Se usi ufw, una regola prudente può essere questa, limitando l’accesso a una subnet amministrativa:

sudo ufw allow from 192.0.2.0/24 to any port 3000 proto tcp

Su nftables o firewall centralizzati il principio è identico: apri solo ciò che serve, al segmento che serve. Se la dashboard deve essere raggiungibile solo da una VPN, non c’è motivo di lasciarla pubblica.

Avvio automatico e persistenza dopo reboot

Dopo il reboot, ntopng deve ripartire con la stessa interfaccia e la stessa configurazione. Questo è il test che distingue un setup da laboratorio da uno utilizzabile davvero.

sudo systemctl is-enabled ntopng
sudo reboot

Dopo il riavvio, ricontrolla lo stato e la porta in ascolto:

systemctl status ntopng --no-pager
ss -ltnp | grep 3000

Se il servizio sale ma non vede traffico, il problema è quasi sempre nella definizione dell’interfaccia o nei permessi di capture. Se invece non sale proprio, il log di journald è il primo posto da leggere, non l’ultimo.

Integrazione con reverse proxy e TLS

Se devi pubblicare la UI dietro Nginx o Apache, fallo come si fa con qualsiasi pannello amministrativo: TLS terminato sul proxy, backend in localhost, eventuale autenticazione aggiuntiva. Così eviti di esporre direttamente il demone e semplifichi certificati, HSTS e policy di accesso.

Con Nginx la logica tipica è questa: il proxy ascolta in 443, gira il traffico verso 127.0.0.1:3000 e conserva gli header utili. Non reinventare il backend, limita solo l’esposizione.

server {
    listen 443 ssl;
    server_name ntop.example.com;

    location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
    }
}

Se usi un proxy, verifica anche il comportamento del login e dei redirect. Alcune applicazioni amministrative si comportano male quando non ricevono gli header corretti o quando sono dietro sottopercorso. In quel caso tieni l’app su un host dedicato, non forzarla in una path complessa senza necessità.

Controlli di qualità dopo l’installazione

Una volta completata l’installazione, fai tre verifiche pratiche invece di fidarti del solo systemctl active. Primo: la UI risponde. Secondo: i grafici si popolano con traffico reale. Terzo: dopo un riavvio, il comportamento resta identico.

curl -I http://127.0.0.1:3000
journalctl -u ntopng -b --no-pager | tail -n 50
systemctl status ntopng --no-pager

Se devi fare troubleshooting, ragiona per layer: rete, listener, permessi, interfaccia, storage. Non partire dal database o dalla dashboard se prima non hai conferma che il processo sta davvero catturando pacchetti.

Errore comune: installazione riuscita, monitoraggio vuoto

Questo è il caso più frequente in assoluto. Il pacchetto è installato, il servizio è “active”, ma la pagina è povera di dati o sembra ferma. Le cause tipiche sono sempre le stesse: interfaccia errata, poco traffico reale su quell’host, permessi di capture non adeguati, porta web dietro firewall o proxy configurato male.

Per falsificare rapidamente l’ipotesi “interfaccia sbagliata”, osserva il traffico reale con tcpdump. Per falsificare l’ipotesi “permessi”, guarda i log del servizio. Per falsificare l’ipotesi “porta bloccata”, fai un curl locale. Bastano pochi minuti se lavori in ordine.

Quando fermarsi e ripartire con una configurazione più pulita

Se stai cercando di piazzare ntopng su un server già molto carico, con molte interfacce, bond, VLAN e traffico alto, conviene fermarsi e progettare meglio: interfaccia dedicata, retention chiara, risorse CPU/RAM sufficienti e una policy di accesso definita. ntopng non è un giocattolo da lanciare ovunque senza pensare al costo del monitoraggio.

In ambienti piccoli, invece, un’installazione semplice su Debian 12 con una singola interfaccia e accesso limitato è spesso la scelta migliore. Meno variabili hai, più facile è capire se il problema è nel sistema o nella rete che stai osservando.

Assunzione: i pacchetti ufficiali di ntop sono disponibili per Debian 12 e il server ha una sola interfaccia primaria da monitorare; se il repository cambia o il nodo ha una topologia più complessa, verifica la documentazione del repository e l’output di ip link prima di installare.