我想将来自消费者路由器 (TPLink WR1043ND v.1.x) 的所有流量(还有 VPN、WLAN、WAN)镜像到位于同一网络中的 Snort 传感器,但不需要额外的硬件!镜像必须由路由器完成(运行 OpenWrt Barrier Breaker)。
现在的固件也支持镜像路由器的WAN口,但是这个流的数据对我来说没用,因为它不包含连接到路由器的设备的内部IP!我想要来自内部的镜像流量路由器,以及所有内部 IP。
所以,我很快就想到了tcpdump -i any。但据我所知,不可能将 'tcpdump' 配置为流式传输直接镜像流量Snort的传感器?(不生成并保存巨大的 pcap 文件到硬盘)?
我该如何解决这个问题?
附录:这是否适用于使用iptables --tee镜像所有流量的选项?我想我需要从 OpenWRT 存储库安装这个“ TEE iptables 扩展”ipkg 或这个“ TEE 内核模块”ipkg 才能工作?这会起作用还是我需要其他东西?
openwrt ×1