У меня есть следующие 3 ПК, подключенных к маршрутизатору через Ethernet:
ПК1 - 192.168.1.101 (Linux Ubuntu)
ПК2 - 192.168.1.100 (Windows)
ПК3 - 192.168.1.1 (Windows)
Все ПК могут пинговать друг друга.
На ПК1 установлена Suricata в режиме IDS. В него входит простое правило проверки связи:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Я запускаю Suricata, введя следующую команду на ПК1:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 является основным интерфейсом Ethernet в ПК1:
Правило проверки связи срабатывает, когда я проверяю связь с ПК1 с ПК2 и ПК3, и соответствующее сообщение записывается в файл журнала. Это правило также срабатывает, когда я пингую ПК2 и ПК3 с ПК1.
Однако это правило не срабатывает, когда я пингую ПК2 с ПК3 и наоборот. Suricata слушает только на интерфейсе eth3 в PC1. Трафик не проходит через ПК1, когда я пингую ПК2 с ПК3, даже если все 3 ПК находятся в одной сети.
Можно ли настроить Suricata для мониторинга всей сети, а не только компьютера, на котором она установлена?