ทำมิรเรอร์ทราฟฟิกเราเตอร์ทั้งหมด (openwrt) ไปยังเซ็นเซอร์ snort หรือไม่?


15

ฉันต้องการสะท้อนปริมาณการใช้งานทั้งหมด (เช่น VPN, WLAN, WAN) จากเราเตอร์ผู้บริโภค (TPLink WR1043ND v.1.x) ไปยังเซ็นเซอร์ snort ที่อยู่ในเครือข่ายเดียวกัน แต่ไม่มีฮาร์ดแวร์เพิ่มเติม! เราเตอร์ต้องทำการมิเรอร์ (เรียกใช้ OpenWrt Barrier Breaker)

การทำมิเรอร์พอร์ต WAN ของเราเตอร์จะได้รับการสนับสนุนจากเฟิร์มแวร์ปัจจุบันแต่ข้อมูลของสตรีมนี้ไม่มีประโยชน์กับฉันเพราะมันไม่มี IP ภายในของอุปกรณ์ที่เชื่อมต่อกับเราเตอร์! ฉันต้องการปริมาณข้อมูลที่มิเรอร์จากภายในเราเตอร์พร้อมด้วย IP ภายในทั้งหมด

tcpdump -i anyดังนั้นผมคิดเกี่ยวกับการได้อย่างรวดเร็ว แต่สำหรับความรู้ของฉันมันเป็นไปไม่ได้ที่จะกำหนดค่า 'tcpdump' เพื่อส่งกระแสข้อมูลที่มิเรอร์ไปยังเซ็นเซอร์ snort โดยตรงหรือไม่ (โดยไม่ต้องสร้างและบันทึกไฟล์ pcap มหาศาลในฮาร์ดไดรฟ์)?

ฉันจะแก้ปัญหานี้ได้อย่างไร


ภาคผนวก: สิ่งนี้จะทำงานกับการใช้iptables --teeตัวเลือกที่สะท้อนถึงปริมาณการใช้ทั้งหมดหรือไม่ ฉันคิดว่าฉันจะต้องติดตั้งipkg ' TEE ส่วนขยาย iptables ' นี้หรือ ' Kernel modules for TEE ' ipkg จากที่เก็บ OpenWRT เพื่อให้ทำงานได้หรือไม่ จะทำงานนี้หรือฉันต้องการอย่างอื่นได้หรือไม่


1
นี่เป็นคำถามที่ดีและฉันอยากรู้อยากเห็นคำตอบใด ๆ ฉันลงคะแนนให้ย้ายไปที่ Superuser แล้วเนื่องจากพวกเขามีประสบการณ์เกี่ยวกับอุปกรณ์ผู้บริโภคและเฟิร์มแวร์อื่นเช่น OpenWRT
EEAA

คำตอบ:


4

ใช่ iptables TEE ทำงาน ฉันมีเราเตอร์ tplink และฉันกำลังสะท้อนปริมาณข้อมูลที่แน่นอนด้วยเหตุผลเดียวกับคุณ

ติดตั้งโมดูลและแพ็คเกจที่จำเป็นทั้งหมดสำหรับ TEE

สมมติว่าที่อยู่ IP การตรวจสอบของคุณคือ10.1.1.205รัน:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

3

มีโปรแกรมปะแก้สำหรับ OpenWrt เพื่อเปิดใช้งานการมิเรอร์พอร์ตบนฮาร์ดแวร์ของคุณแม้ว่าจะได้รับการทดสอบ จำกัด แน่นอนคุณสามารถสมัครและทดสอบด้วยตัวเอง


ฉันอ้างถึงคุณสมบัตินี้ในคำถามของฉัน ปัญหาคือเมื่อทำมิเรอร์พอร์ต WAN - คุณจะได้รับ IP เราเตอร์สาธารณะและ IP ของเซิร์ฟเวอร์ปลายทางเท่านั้น แต่ฉันต้องการIP ภายในของลูกค้าและการเชื่อมต่อที่แน่นอนของพวกเขาเพื่อดึงข้อมูลเซ็นเซอร์ snort ด้วย
user3200534

หากคุณต้องการจำลองพอร์ตอื่นคุณต้องเลือกพอร์ตนั้น!
Michael Hampton

ได้คุณสามารถเลือกระหว่าง 1-4 ช่อง LAN (พอร์ต) ไม่มี WLan! ไม่มี VPN! eth-ports ที่ด้านหลังของอุปกรณ์หรือพอร์ต 0 (= WAN) มันอยู่ไกลจากทราฟฟิกทั้งหมดของเราเตอร์
user3200534

อืมมม ฉันไม่คิดว่าคุณจะสะท้อนการรับส่งข้อมูลทั้งหมดได้ นี่คือหลังจากที่ทุกฟังก์ชั่นที่สวิทช์ฮาร์ดแวร์ ดังนั้นคุณจะไม่ได้รับการรับส่งข้อมูล WLAN ตัวอย่างเช่นหรือการรับส่งข้อมูลบนอินเทอร์เฟซเสมือน คนอื่นในสถานการณ์ที่คล้ายกันอาจพบว่ามีประโยชน์นี้
Michael Hampton

คุณแชร์รายละเอียดได้อย่างไรว่าคุณจะใช้โปรแกรมแก้ไขนี้หรือไม่?
AK_

0

ตอนนี้เป็นไปได้ที่จะตั้งค่าการมิเรอร์พอร์ตบน OpenWrt ผ่านการตั้งค่าสวิตช์ สิ่งนี้สามารถทำได้โดยใช้เว็บอินเตอร์เฟส OpenWrt (LuCI) โดยไปที่เมนูเครือข่าย-> สลับจากนั้นเปิดใช้งาน 'เปิดใช้งานการทำมิเรอร์ของแพ็กเก็ตที่เข้ามา' และ / หรือ 'เปิดใช้งาน มิฉะนั้นสามารถทำได้โดยแก้ไขส่วนสวิตช์ของไฟล์กำหนดค่าเครือข่าย ( /etc/config/network)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.