我想在网关上使用新的 NetBSD NPF 防火墙,该网关还具有记录 1 年流量的法定义务。为了减轻网关的负担,我想把日志记录(以及 IDS、配额管理等)放在另一台机器上(可能是 Debian)。
我想到两种解决方案:
- 将流量重新复制到另一台机器
与 FreeBSD 和 OpenBSD 不同,我不确定 NetBSD 是否能够设置这个端口之王,如果可以,我不知道如何设置。 http://man.netbsd.org/bridge.4表示
桥接驱动程序当前不支持通过 bpf(4) 进行监听。
但在旧版本中
桥接驱动程序当前不支持通过 bpf(4) 进行监听或透明过滤。
所以也许有办法,但我不知道从哪里开始,有什么帮助吗?
- 在 NetBSD 机器上运行 tcpdump,并不断将日志文件与分析机器同步
但是如何做到呢?它必须可靠并且适应网络日志文件(即连续写入)。
答案1
我假设这台机器除了用于路由流量的端口之外还有一个额外的“管理”网络端口?
npf.conf(5)提到:
procedure "log" {
# Note: npf_ext_log kernel module should be loaded, if not built-in.
# Also, the interface created, e.g.: ifconfig npflog0 create
log: npflog0
}
这意味着你应该能够添加适当的日志行来“记录”到管理端口的所有流量的副本