我想将来自消费者路由器 (TPLink WR1043ND v.1.x) 的所有流量(还有 VPN、WLAN、WAN)镜像到位于同一网络中的 Snort 传感器,但不需要额外的硬件!镜像必须由路由器完成(运行 OpenWrt Barrier Breaker)。
现在的固件也支持镜像路由器的WAN口,但是这个流的数据对我来说没用,因为它不包含连接到路由器的设备的内部IP!我想要来自内部的镜像流量路由器,以及所有内部 IP。
所以,我很快就想到了tcpdump -i any。但据我所知,不可能将 'tcpdump' 配置为流式传输直接镜像流量Snort的传感器?(不生成并保存巨大的 pcap 文件到硬盘)?
我该如何解决这个问题?
附录:这是否适用于使用iptables --tee镜像所有流量的选项?我想我需要从 OpenWRT 存储库安装这个“ TEE iptables 扩展”ipkg 或这个“ TEE 内核模块”ipkg 才能工作?这会起作用还是我需要其他东西?
小智 5
是的 iptables TEE 有效。我有一个 tplink 路由器,出于与您完全相同的原因,我正在镜像流量。
为 TEE 安装所有必要的模块和包。
假设您的监控 IP 地址是10.1.1.205,请运行:
iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205
iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
| 归档时间: |
|
| 查看次数: |
17422 次 |
| 最近记录: |