Зеркальное отражение всего трафика маршрутизатора (openwrt) на датчик фырканья?

Я хочу отразить весь трафик (в том числе VPN, WLAN, WAN) от потребительского маршрутизатора (TPLink WR1043ND v.1.x) на датчик snort, расположенный в той же сети, но без дополнительного оборудования! Зеркальное отображение должно быть выполнено маршрутизатором (работает OpenWrt Barrier Breaker).

Зеркальное отображение порта WAN маршрутизатора будет даже поддерживаться текущей прошивкой , но данные этого потока для меня бесполезны , поскольку они не содержат внутренних IP-адресов устройств, подключенных к маршрутизатору! Я хочу зеркальный трафик изнутри маршрутизатора со всеми внутренними IP-адресами.

Итак, я быстро подумал tcpdump -i any. Но, насколько мне известно, невозможно настроить tcpdump для потоковой передачи зеркального трафика непосредственно на датчик snort? (без создания и сохранения огромных pcap-файлов на жесткий диск)?

Как мне это решить?

Приложение: Будет ли это работать с использованием iptables --teeопции зеркалирования всего трафика? Я думаю, что мне нужно было бы установить этот ipkg ' TEE iptables extensions ' или этот ' Kernel modules for TEE ' из репозитория OpenWRT, чтобы работать? Будет ли это работать или мне нужно что-то еще?

openwrt

— user3200534
источник

Это хороший вопрос, и мне любопытно услышать любые ответы. Я проголосовал за его перенос в Superuser, так как они более опытны с потребительским оборудованием и альтернативными прошивками, такими как OpenWRT.

— EEAA

Ответы:

Да iptables TEE работает. У меня есть маршрутизатор tplink, и я отражаю трафик точно по той же причине, что и вы.

Установите все необходимые модули и пакеты для TEE.

Предполагая, что ваш IP-адрес мониторинга 10.1.1.205, запустите:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

— Митос
источник

Патч для OpenWrt , чтобы включить зеркалирование портов на вашем оборудовании доступен, хотя он получил только ограниченное тестирование. Вы можете, конечно, применить и проверить это самостоятельно.

— Майкл Хэмптон
источник

Я сослался на эту особенность в своем вопросе. Проблема заключается в зеркалировании порта WAN - вы получаете только общедоступный IP-адрес маршрутизатора и IP-адрес сервера назначения. Но я хочу, чтобы внутренние IP-адреса клиентов и их точные соединения содержали датчик фырканья.

— user3200534

Если вы хотите отразить другой порт, вам нужно выбрать этот порт!

— Майкл Хэмптон

Да, вы можете выбрать между 1-4 слотами LAN (портами). Нет WLan! Нет VPN! Только эти порты на задней панели устройства или порт 0 (= WAN). Это очень далеко от всего трафика маршрутизатора.

— user3200534

Хм. Я не думаю, что вы можете отражать весь трафик. В конце концов, это функция аппаратного переключателя . Таким образом, вы не получите трафик WLAN, например, или трафик на виртуальных интерфейсах. Кто-то еще в подобной ситуации может найти это полезным, хотя.

— Майкл Хэмптон

Можете ли вы поделиться деталями, как бы вы применили этот патч?

— AK_

Теперь можно настроить зеркалирование портов на OpenWrt через конфигурацию коммутатора. Это можно сделать с помощью веб-интерфейса OpenWrt (LuCI), перейдя в меню Network-> Switch, затем включив «Включить зеркалирование входящих пакетов» и / или «Включить зеркалирование исходящих пакетов» и установив нужные интерфейсы. В противном случае это может быть достигнуто путем редактирования раздела переключателя в файле конфигурации сети ( /etc/config/network).

— Пирз
источник