我想将所有流量(包括 VPN、WLAN、WAN)从消费者路由器(TPLink WR1043ND v.1.x)镜像到位于同一网络中的 snort 传感器,但不需要额外的硬件!镜像必须由路由器(运行 OpenWrt Barrier Breaker)完成。
镜像路由器的 WAN 口甚至会得到当前固件的支持,但该流的数据无用对我来说,因为它不包含内部 IP连接到路由器的设备!我希望镜像流量来自里面路由器,包含所有内部 IP。
所以,我很快就想到了tcpdump -i any。但据我所知,不可能将“tcpdump”配置为溪流镜像流量直接发送到 Snort 传感器?(无需生成并保存大量的 PCAP 文件到硬盘)?
我该如何解决这个问题?
附录:这是否适用于使用iptables --tee镜像所有流量选项?我想我需要安装这个'TEE iptables 扩展“ipkg 或这个”TEE 的内核模块' ipkg 从 OpenWRT 存储库中获取以便工作?这可以工作吗?还是我还需要其他东西?
答案1
是的,iptables TEE 有效。我有一个 tplink 路由器,我镜像流量的原因和你一样。
安装 TEE 所需的所有模块和包。
假设你的监控IP地址是10.1.1.205,运行:
iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205
iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
答案2
AOpenWrt 补丁用于启用端口镜像虽然只经过了有限的测试,但仍然可以在您的硬件上使用。当然,您可以自己应用和测试它。
答案3
现在可以通过 Switch 配置在 OpenWrt 上设置端口镜像。这可以使用 OpenWrt Web 界面 (路西)前往网络->交换机菜单,然后启用“启用传入数据包镜像”和/或“启用传出数据包镜像”,并设置所需的接口(“镜像源端口”是您想要镜像流量的来源,“镜像监视端口”是镜像到的端口)。可能还需要更改交换机接口和监视设备上的监视接口上的 VLAN 设置,以查看感兴趣的流量
否则,可以通过命令行实现编辑网络配置的交换机部分文件 (/etc/config/network)。
更新:随着 OpenWRT 版本(v21 及以上)在某些平台上的推出,它们已开始迁移到新的分布式交换机架构 (DSA),该架构通过接口 UI 进行控制。它也可以配置在命令行使用tc命令配置mirred对适当的端口采取行动。
注意:端口镜像通常存在限制,因为许多平台中的交换机硬件可能无法直接连接到所有接口 - 这意味着您可能只能镜像 LAN 或 WAN 流量。但您应该能够设置一些 iptables 规则(如上所述)来重定向/镜像剩余流量。