Tüm yönlendirici trafiğini (openwrt) bir snort sensörüne yansıtır mısınız?


15

Bir tüketici yönlendiricisinden (TPLink WR1043ND v.1.x) tüm trafiği (ayrıca VPN, WLAN, WAN) aynı ağda bulunan, ancak ekstra donanım olmadan bir snort sensörüne yansıtmak istiyorum! Yansıtma yönlendirici tarafından yapılmalıdır (OpenWrt Bariyer Kesici çalıştırılır).

Yönelticinin WAN portunu yansıtmak, mevcut bellenim tarafından bile desteklenir , ancak yönlendiriciye bağlı cihazların dahili IP'lerini içermediği için bu akışın verileri benim için işe yaramaz ! Tüm dahili IP'lerle yönlendiricinin içinden yansıtılmış trafiği istiyorum .

Bu yüzden çabucak düşündüm tcpdump -i any. Ama bildiğim kadarıyla o yapılandırmak 'tcpdump' olarak mümkün değildir akarsu snort sensörüne doğrudan yansıtılmış trafik? (devasa pcap dosyaları oluşturmadan ve sabit diske kaydetmeden)?

Bunu nasıl çözerim?


Ek: iptables --teeTüm trafiği yansıtma seçeneğini kullanmak işe yarar mı? Çalışmak için bu ' TEE iptables uzantıları ' ipkg'ı veya bu ' TEE için Çekirdek modülleri ' ipkg'ı OpenWRT deposundan kurmam gerektiğini düşünüyorum? Bu işe yarar mı yoksa başka bir şeye mi ihtiyacım var?


1
Bu iyi bir soru ve herhangi bir cevap duymayı merak ediyorum. Tüketici donanımları ve OpenWRT gibi alternatif bellenim konusunda daha deneyimli oldukları için Superuser'a taşınmasına oy verdim.
EEAA

Yanıtlar:


4

Evet iptables TEE çalışıyor. Bir tplink yönlendiricim var ve trafiği tam olarak sizinle aynı nedenden dolayı yansıtıyorum.

TEE için gerekli tüm modülleri ve paketleri takın.

İzleme IP adresinizin olduğu varsayılarak 10.1.1.205, çalıştırın:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

3

Donanımınızda bağlantı noktası yansıtmayı etkinleştirmek için OpenWrt için bir düzeltme eki kullanılabilir, ancak yalnızca sınırlı sınama almıştır. Elbette uygulayabilir ve kendiniz test edebilirsiniz.


Sorumda bu özelliğe değindim. Sorun, WAN bağlantı noktasını yansıtırken - yalnızca hedef sunucunun genel yönlendirici IP ve IP'sini alırsınız. Ancak istemcilerin dahili IP'lerini ve tam bağlantılarını snort sensörünü beslemek istiyorum.
user3200534

Farklı bir bağlantı noktasını yansıtmak istiyorsanız, o bağlantı noktasını seçmeniz gerekir!
Michael Hampton

Evet, 1-4 LAN yuvası (bağlantı noktası) arasında seçim yapabilirsiniz. WLan yok! VPN yok! Yalnızca aygıtın arka tarafındaki eth bağlantı noktaları veya bağlantı noktası 0 (= WAN). Bu, yönlendiricinin tüm trafiğinden çok uzak .
user3200534

Hmm. Tüm trafiği yansıtabileceğinizi sanmıyorum . Sonuçta bu, donanım anahtarının bir işlevidir . Böylece WLAN trafiği veya sanal arabirimlerdeki trafik elde edemezsiniz. Yine de benzer durumdaki başka biri bunu faydalı bulabilir.
Michael Hampton

Bu yamayı nasıl uygularsınız?
AK_

0

Artık Switch yapılandırması aracılığıyla OpenWrt üzerinde port yansıtmayı ayarlamak mümkündür. Bu, Network-> Switch menüsüne gidip 'Gelen paketlerin aynalanmasına izin ver ' ve / veya 'Giden paketlerin aynalanmasına izin ver ' etkinleştirilerek ve istenen arabirimlerin ayarlanmasıyla OpenWrt web arayüzü (LuCI) kullanılarak yapılabilir . Aksi takdirde , ağ yapılandırma dosyasının ( /etc/config/network) anahtar bölümü düzenlenerek elde edilebilir .

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.