सभी राउटर ट्रैफ़िक (ओपन राइटर) को एक स्नॉर्ट सेंसर को मिरर करना?


15

मैं एक उपभोक्ता राउटर (TPLink WR1043ND v.1.x) से सभी ट्रैफ़िक (वीपीएन, डब्ल्यूएलएएन, डब्ल्यूएएन) को एक ही नेटवर्क में स्थित एक स्नॉर्ट सेंसर को दर्पण करना चाहता हूं, लेकिन अतिरिक्त हार्डवेयर के बिना! मिररिंग को राउटर (ओपनवार्ट बैरियर ब्रेकर चलाने) द्वारा किया जाना है।

राउटर के WAN पोर्ट को मिरर करना भी वर्तमान फर्मवेयर द्वारा समर्थित होगा , लेकिन इस स्ट्रीम का डेटा मेरे लिए बेकार है, क्योंकि इसमें राउटर से जुड़े उपकरणों के आंतरिक आईपी शामिल नहीं हैं ! मैं सभी आंतरिक आईपी के साथ राउटर के अंदर से प्रतिबिंबित ट्रैफ़िक चाहता हूं ।

इसलिए, मैंने जल्दी से इसके बारे में सोचा tcpdump -i any। लेकिन मेरी जानकारी के लिए यह कॉन्फ़िगर 'tcpdump' के लिए संभव नहीं है स्ट्रीम थिरकने सेंसर करने के लिए सीधे प्रतिबिंबित यातायात? (हार्डड्राइव के लिए भारी pcap-files को उत्पन्न और सहेजे बिना)?

मैं इसे कैसे हल करूं?


परिशिष्ट: क्या यह iptables --teeसभी ट्रैफ़िक मिररिंग विकल्प के उपयोग से काम करेगा ? मुझे लगता है कि मुझे काम करने के लिए OpenWRT रिपॉजिटरी से इस ' TEE iptables एक्सटेंशन ' ipkg या इस ' TEE के लिए कर्नेल मॉड्यूल ' को स्थापित करने की आवश्यकता होगी ? क्या यह काम करेगा या मुझे कुछ और चाहिए?


1
यह एक अच्छा सवाल है, और मैं किसी भी उत्तर को सुनने के लिए उत्सुक हूं। मैंने इसे सुपरसुसर में स्थानांतरित करने के लिए वोट दिया है, हालांकि, वे उपभोक्ता गियर और ओपनवेयर जैसे वैकल्पिक फर्मवेयर के साथ अधिक अनुभवी हैं।
ईईएए

जवाबों:


4

हाँ iptables TEE काम करता है। मेरे पास एक tplink राऊटर है और मैं ट्रैफ़िक को ठीक उसी तरह से बता रहा हूँ जैसे आप।

टीईई के लिए सभी आवश्यक मॉड्यूल और पैकेज स्थापित करें।

मान लें कि आपकी निगरानी IP पता है 10.1.1.205, चलाएं:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

3

OpenWrt के लिए एक पैच आपके हार्डवेयर पर पोर्ट मिररिंग को सक्षम करने के लिए उपलब्ध है, हालांकि इसे केवल सीमित परीक्षण प्राप्त हुआ है। आप निश्चित रूप से इसे स्वयं लागू कर सकते हैं और इसका परीक्षण कर सकते हैं।


मैंने अपने प्रश्न में इस विशेषता का उल्लेख किया है। समस्या यह है कि WAN पोर्ट को मिरर करते समय - आपको केवल गंतव्य सर्वर का सार्वजनिक राउटर IP और IP मिलता है। लेकिन मैं चाहता हूं कि ग्राहकों के आंतरिक आईपी और उनके सटीक कनेक्शन के साथ स्नॉर्ट सेंसर को खिलाने के लिए।
user3200534

यदि आप एक अलग पोर्ट मिरर करना चाहते हैं, तो आपको उस पोर्ट का चयन करने की आवश्यकता है!
माइकल हैम्पटन

हां, आप 1-4 LAN स्लॉट (पोर्ट) के बीच चयन कर सकते हैं। कोई WLAN नहीं! कोई वीपीएन नहीं! केवल डिवाइस या पोर्ट 0 (= WAN) के बैक पर एथ-पोर्ट्स। यह राउटर के सभी ट्रैफिक से बहुत दूर है ।
user3200534

हम्म। मुझे नहीं लगता कि आप सभी ट्रैफ़िक को मिरर कर सकते हैं । यह, सब के बाद, हार्डवेयर स्विच का एक फ़ंक्शन है । उदाहरण के लिए, वर्चुअल इंटरफेस पर आपको WLAN ट्रैफ़िक नहीं मिलेगा। एक समान स्थिति में किसी और को यह उपयोगी लग सकता है, हालांकि।
माइकल हैम्पटन

क्या आप विवरण साझा कर सकते हैं कि आप इस पैच को कैसे लागू करेंगे?
AK_

0

अब स्विच कॉन्फ़िगरेशन के माध्यम से OpenWrt पर पोर्ट मिररिंग सेट करना संभव है। यह या तो नेटवर्क-> स्विच मेनू पर जाकर OpenWrt वेब इंटरफ़ेस (LuCI) का उपयोग करके किया जा सकता है, फिर 'आने वाले पैकेटों के मिररिंग सक्षम करें' और / या 'आउटगोइंग पैकेट्स के मिररिंग सक्षम करें' और वांछित इंटरफेस सेट कर सकता है। अन्यथा यह नेटवर्क कॉन्फ़िगरेशन फ़ाइल ( /etc/config/network) के स्विच अनुभाग को संपादित करके प्राप्त किया जा सकता है ।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.