我有一个防火墙(Debian Stable 7.5),它以桥接模式工作。接口eth0(WAN)和eth1(LAN)与桥接接口相连br0。
我可以部署 NIDS (例如。呼噜) 吗?如果是,它应该监听哪个接口?
答案1
我认为在这种情况下它应该嗅探 上的流量br0。但是,如果它的规则不关心源地址,并且您不想阻止或警告潜在的出站入侵(为什么不呢?),您很可能可以在 WAN 接口上嗅探而不会造成伤害。
嗅探或多或少是被动的,只允许您检查通过接口的所有内容。
桥接防火墙上的 NIDS
我有一个防火墙(Debian Stable 7.5),它以桥接模式工作。接口eth0(WAN)和eth1(LAN)与桥接接口相连br0。
我可以部署 NIDS (例如。呼噜) 吗?如果是,它应该监听哪个接口?
我认为在这种情况下它应该嗅探 上的流量br0。但是,如果它的规则不关心源地址,并且您不想阻止或警告潜在的出站入侵(为什么不呢?),您很可能可以在 WAN 接口上嗅探而不会造成伤害。
嗅探或多或少是被动的,只允许您检查通过接口的所有内容。