15

Я хочу отразить весь трафик (в том числе VPN, WLAN, WAN) от потребительского маршрутизатора (TPLink WR1043ND v.1.x) на датчик snort, расположенный в той же сети, но без дополнительного оборудования! Зеркальное отображение должно быть выполнено маршрутизатором (работает OpenWrt Barrier Breaker).

Зеркальное отображение порта WAN маршрутизатора будет даже поддерживаться текущей микропрограммой, но данные этого потока для меня бесполезны , поскольку они не содержат внутренних IP-адресов устройств, подключенных к маршрутизатору! Я хочу зеркальный трафик изнутри маршрутизатора со всеми внутренними IP-адресами.

Итак, я быстро подумал о tcpdump -i any . Но, насколько мне известно, невозможно настроить tcpdump для потоковой передачи зеркального трафика непосредственно на датчик snort? (без создания и сохранения огромных pcap-файлов на жесткий диск)?

Как мне это решить?

Редактировать: этот вопрос не ответил!

Приложение: Будет ли это работать с использованием опции iptables --tee отражающей весь трафик? Я думаю, что мне нужно будет установить этот ipkg расширений TEE iptables или этот ipkg модулей ядра для TEE из репозитория OpenWRT, чтобы работать? Будет ли это работать или мне нужно что-то еще?

|источник

2 ответа2

4

Да iptables TEE работает. У меня есть маршрутизатор tplink, и я отражаю трафик точно по той же причине, что и вы.

Установите все необходимые модули и пакеты для TEE.

Предполагая, что ваш IP-адрес мониторинга - 10.1.1.205 , запустите:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
|источник
3

Доступно исправление для OpenWrt для включения зеркалирования портов на вашем оборудовании, хотя оно прошло лишь ограниченное тестирование. Вы можете, конечно, применить и проверить это самостоятельно.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .