ทำมิรเรอร์ทราฟฟิกเราเตอร์ทั้งหมด (openwrt) ไปยังเซ็นเซอร์ snort หรือไม่?

ฉันต้องการสะท้อนปริมาณการใช้งานทั้งหมด (เช่น VPN, WLAN, WAN) จากเราเตอร์ผู้บริโภค (TPLink WR1043ND v.1.x) ไปยังเซ็นเซอร์ snort ที่อยู่ในเครือข่ายเดียวกัน แต่ไม่มีฮาร์ดแวร์เพิ่มเติม! เราเตอร์ต้องทำการมิเรอร์ (เรียกใช้ OpenWrt Barrier Breaker)

การทำมิเรอร์พอร์ต WAN ของเราเตอร์จะได้รับการสนับสนุนจากเฟิร์มแวร์ปัจจุบันแต่ข้อมูลของสตรีมนี้ไม่มีประโยชน์กับฉันเพราะมันไม่มี IP ภายในของอุปกรณ์ที่เชื่อมต่อกับเราเตอร์! ฉันต้องการปริมาณข้อมูลที่มิเรอร์จากภายในเราเตอร์พร้อมด้วย IP ภายในทั้งหมด

tcpdump -i anyดังนั้นผมคิดเกี่ยวกับการได้อย่างรวดเร็ว แต่สำหรับความรู้ของฉันมันเป็นไปไม่ได้ที่จะกำหนดค่า 'tcpdump' เพื่อส่งกระแสข้อมูลที่มิเรอร์ไปยังเซ็นเซอร์ snort โดยตรงหรือไม่ (โดยไม่ต้องสร้างและบันทึกไฟล์ pcap มหาศาลในฮาร์ดไดรฟ์)?

ฉันจะแก้ปัญหานี้ได้อย่างไร

ภาคผนวก: สิ่งนี้จะทำงานกับการใช้iptables --teeตัวเลือกที่สะท้อนถึงปริมาณการใช้ทั้งหมดหรือไม่ ฉันคิดว่าฉันจะต้องติดตั้งipkg ' TEE ส่วนขยาย iptables ' นี้หรือ ' Kernel modules for TEE ' ipkg จากที่เก็บ OpenWRT เพื่อให้ทำงานได้หรือไม่ จะทำงานนี้หรือฉันต้องการอย่างอื่นได้หรือไม่

ใช่ iptables TEE ทำงาน ฉันมีเราเตอร์ tplink และฉันกำลังสะท้อนปริมาณข้อมูลที่แน่นอนด้วยเหตุผลเดียวกับคุณ

ติดตั้งโมดูลและแพ็คเกจที่จำเป็นทั้งหมดสำหรับ TEE

สมมติว่าที่อยู่ IP การตรวจสอบของคุณคือ10.1.1.205รัน:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

มีโปรแกรมปะแก้สำหรับ OpenWrt เพื่อเปิดใช้งานการมิเรอร์พอร์ตบนฮาร์ดแวร์ของคุณแม้ว่าจะได้รับการทดสอบ จำกัด แน่นอนคุณสามารถสมัครและทดสอบด้วยตัวเอง

ตอนนี้เป็นไปได้ที่จะตั้งค่าการมิเรอร์พอร์ตบน OpenWrt ผ่านการตั้งค่าสวิตช์ สิ่งนี้สามารถทำได้โดยใช้เว็บอินเตอร์เฟส OpenWrt (LuCI) โดยไปที่เมนูเครือข่าย-> สลับจากนั้นเปิดใช้งาน 'เปิดใช้งานการทำมิเรอร์ของแพ็กเก็ตที่เข้ามา' และ / หรือ 'เปิดใช้งาน มิฉะนั้นสามารถทำได้โดยแก้ไขส่วนสวิตช์ของไฟล์กำหนดค่าเครือข่าย ( /etc/config/network)