我正在尝试在虚拟机上为我的实验室设置 Snort IDS。我的问题是,通常,这些类型的 IDS 连接到交换机的镜像端口。我的实验室没有这样的设备。这是我的拓扑:
[Internet]->[Linux Firewall+NAT]->[Local Subnets]
我想将我的 Snort VM(连接到我的 192.168.0.0/24 子网)连接到我的 Linux 防火墙,有没有办法使用 IPTABLES 或类似的东西来实现这一点?
(这可能行不通,因为我们想监听传输层帧……)
或者是否可以在我的防火墙上收集数据并让我的 Snort VM 远程分析它?
我在这里有什么选择?
感谢您分享您的知识!
答案1
在 Linux 防火墙上运行 snort。您可以使用 VM 运行 MySQL,并配置 snort 以将其记录到其中,如下所示:
output database: log, mysql, user=snort password=snortpass dbname=snort host=mysql.host