我很难创建来自配置为端口镜像的交换机的流量的 iptables 规则。
我使用 tcpdump 检查了我的交换机是否发送了流量->Tcpdump 检测到了流量。
因此,我尝试了几种使用 iptables 的配置,以便能够检测目标 IP,但什么也没检测到。问题是我有超过 2000 个目标 IP 需要记录。Snort 似乎没有回答,因为我的 CF 上要安装的软件包太多,而且很难用 syslog 发送发送到外部日志管理器。
所以,我希望使用 iptables。你认为可以做到吗?如果可以,请给我一些语法或 iptables 规则。
感谢您的帮助
答案1
不是发往“此”主机的数据包在内核(以及 iptables)看到它们之前就被丢弃了。
您需要将接口置于混杂模式(这是 tcpdump 所做的):
ip link set eth0 promisc on
eth0用适合您的盒子的接口替换。