Я хотел бы иметь виртуальную машину VirtualBox, которая не может подключиться к Интернету. Я хочу иметь возможность отслеживать все попытки сетевого трафика с хоста Linux.
Таким образом, если виртуальная машина попытается создать SYN для произвольного IP-адреса (к которому она не может подключиться), узел Linux сможет видеть этот трафик при запущенном tcpdump. Я считаю, что мне нужно будет настроить некоторые типы правил пересылки с помощью IPtables.
Кто-нибудь достиг этого?
Если ваш виртуальный компьютер находится за NAT, а не в режиме моста, он сможет прослушивать только трафик в своем сегменте сети ... который, вероятно, будет только трафиком самого себя и вашего хоста на этом интерфейсе ... вы не может прослушивать трафик сети, в которой находится ваш хост. Для этого вам нужно будет настроить виртуальную машину как мостовую.
INPUT DROP OUTPUT DROP FORWARD DROP
При желании вы можете добавить отдельные правила для ваших внутренних сетей, которые вы хотите разрешить.
Весь трафик сбрасывается на ПК мониторинга
Затем следите, используя фырканье. snort все еще должен иметь возможность контролировать сеть, поскольку он работает больше как tcpdump внутри.
