すべてのルータートラフィック（openwrt）をSnortセンサーにミラーリングしますか？

コンシューマールーター（TPLink WR1043ND v.1.x）からすべてのトラフィック（VPN、WLAN、WANも）を、同じネットワーク内にある余分なハードウェアなしのSnortセンサーにミラーリングしたい！ミラーリングは、ルーターで実行する必要があります（OpenWrt Barrier Breakerを実行）。

ルーターのWANポートのミラーリングは現在のファームウェアでもサポートされますが、このストリームのデータはルーターに接続されたデバイスの内部IPを含まないため、私にとっては役に立ちません！すべての内部IPを使用して、ルーター内部からのミラートラフィックが必要です。

だから、私はすぐに考えましたtcpdump -i any。しかし、私の知る限り、ミラーリングされたトラフィックを直接Snortセンサーにストリーミングするように「tcpdump」を設定することはできませんか？（巨大なpcapファイルを生成してハードドライブに保存せずに）？

これをどうやって解決しますか？

付録：iptables --teeすべてのトラフィックをミラーリングするオプションを使用するとこれは機能しますか？動作させるには、この ' TEE iptables extensions ' ipkgまたはこの ' TEEのカーネルモジュール ' ipkgをOpenWRTリポジトリからインストールする必要があると思いますか？これは機能しますか、それとも何か必要ですか？

openwrt

— user3200534
ソース

これは良い質問であり、私はどんな答えも聞きたいです。ただし、消費者向けのギアやOpenWRTのような代替ファームウェアの経験が豊富なので、スーパーユーザーに移行することに投票しました。

— EEAA

回答:

はい、iptables TEEは動作します。私はtplinkルーターを持っていますが、あなたと同じ理由でトラフィックを正確にミラーリングしています。

TEEに必要なすべてのモジュールとパッケージをインストールします。

監視IPアドレスがの10.1.1.205場合、次を実行します：

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

— メトス
ソース

ハードウェアでポートミラーリングを有効にするOpenWrtのパッチは入手可能ですが、テストは限定されています。もちろん、自分で適用してテストすることができます。

— マイケル・ハンプトン
ソース

私は質問でこの機能について言及しました。問題はWANポートをミラーリングするときです-パブリックルーターIPと宛先サーバーのIPのみを取得します。しかし、私はクライアントの内部IPとそれらの正確な接続がsnortセンサーにフィードすることを望んでいます。

— user3200534

別のポートをミラーリングする場合は、そのポートを選択する必要があります！

— マイケルハンプトン

はい、1〜4のLANスロット（ポート）から選択できます。WLan！VPNなし！デバイスまたはポート0（= WAN）の背面にあるethポートのみ。これは、ルーターのすべてのトラフィックからはかけ離れています。

— user3200534

うーん。すべてのトラフィックをミラーリングできるとは思わない。結局のところ、これはハードウェアスイッチの機能です。したがって、たとえば、WLANトラフィック、または仮想インターフェイス上のトラフィックを取得しません。ただし、同様の状況にある他の人がこれを役に立つと思うかもしれません。

— マイケルハンプトン

このパッチをどのように適用しますか？

— AK_

スイッチ構成を介してOpenWrtでポートミラーリングを設定できるようになりました。これは、OpenWrt Webインターフェイス（LuCI）を使用して、[ ネットワーク ] -> [スイッチ ]メニューに移動し、[受信パケットのミラーリングを有効にする]および/または[送信パケットのミラーリングを有効にする] それ以外の場合は、ネットワーク構成ファイル（/etc/config/network）のスイッチセクションを編集することでこれを実現できます。

— ピアス
ソース