Я хочу отразить весь трафик (в том числе VPN, WLAN, WAN) от потребительского маршрутизатора (TPLink WR1043ND v.1.x) на датчик snort, расположенный в той же сети, но без дополнительного оборудования! Зеркальное отображение должно быть выполнено маршрутизатором (работает OpenWrt Barrier Breaker).
Зеркальное отображение порта WAN маршрутизатора будет даже поддерживаться текущей прошивкой , но данные этого потока для меня бесполезны , поскольку они не содержат внутренних IP-адресов устройств, подключенных к маршрутизатору! Я хочу зеркальный трафик изнутри маршрутизатора со всеми внутренними IP-адресами.
Итак, я быстро подумал tcpdump -i any
. Но, насколько мне известно, невозможно настроить tcpdump для потоковой передачи зеркального трафика непосредственно на датчик snort? (без создания и сохранения огромных pcap-файлов на жесткий диск)?
Как мне это решить?
Приложение: Будет ли это работать с использованием iptables --tee
опции зеркалирования всего трафика? Я думаю, что мне нужно было бы установить этот ipkg ' TEE iptables extensions ' или этот ' Kernel modules for TEE ' из репозитория OpenWRT, чтобы работать? Будет ли это работать или мне нужно что-то еще?