Chcę wykonać kopię lustrzaną całego ruchu (także VPN, WLAN, WAN) z routera konsumenckiego (TPLink WR1043ND v.1.x) na czujnik snort znajdujący się w tej samej sieci, ale bez dodatkowego sprzętu! Dublowanie musi być wykonane przez router (z uruchomionym programem OpenWrt Barrier Breaker).
Mirroring portu WAN routera byłby nawet obsługiwany przez bieżące oprogramowanie , ale dane tego strumienia są dla mnie bezużyteczne , ponieważ nie zawierają wewnętrznych adresów IP urządzeń podłączonych do routera! Chcę dublowany ruch z wnętrza routera ze wszystkimi wewnętrznymi adresami IP.
Więc szybko pomyślałem tcpdump -i any
. Ale o ile wiem, nie jest możliwe skonfigurowanie „tcpdump” do przesyłania strumieniowego ruchu lustrzanego bezpośrednio do czujnika snort? (bez generowania i zapisywania ogromnych plików pcap na dysku twardym)?
Jak to rozwiązać?
Dodatek: czy to zadziała z użyciem iptables --tee
opcji dublowania całego ruchu? Myślę, że musiałbym zainstalować to ipkg „ Rozszerzenia iptables TEE ” lub ten ipkg „ Moduły jądra dla TEE ” z repozytorium OpenWRT? Czy to zadziała, czy potrzebuję czegoś innego?