我已经安装了两台使用 Red hat 作为操作系统的 KVM 虚拟化物理机(h1 和 h2)。在 h1 中,我安装了虚拟机 w1 和 db1,在 h2 中安装了虚拟机 w2、db1 和 ids。虚拟机 ids 包含 snort 作为 IDS 系统。安装后,我运行了以下命令:
brctl 设置 br0 0
为了允许 snort 嗅探网络流量,但只传递与物理机器 h2(即主机 snort 机器)相关的流量,而与机器 h1 及其虚拟客户机无关。
在 KVM 虚拟机中安装 snort 是否可以检测网络中其余机器的流量,或者只能检测共享同一网桥的机器的流量?
谢谢
答案1
两台物理机所插入的交换机本身将学习向哪些端口发送流量,因此它将了解到将发往主机 h1 上的任何内容的流量通过主机 h2 所连接的端口发送是没有意义的。
查看在交换机上配置 span 或镜像端口,这允许您配置一个专用端口,该端口将接收其他标记端口(连接到 h1 和 h2 的端口)上的流量副本。然后您需要将该专用端口连接到您的 ids VM。