是否将所有路由器流量(openwrt)镜像到snort传感器?

15

我想将所有来自消费类路由器(TPLink WR1043ND v.1.x)的流量(以及VPN,WLAN,WAN)镜像到位于同一网络中的snort传感器,但没有额外的硬件!镜像必须由路由器(运行OpenWrt Barrier Breaker)完成。

当前固件甚至还支持镜像路由器的WAN端口,但是此流数据对我来说是无用的,因为它不包含连接到路由器的设备的内部IP!我希望来自路由器内部的镜像流量以及所有内部IP。

所以,我很快想到了tcpdump -i any。但是据我所知,不可能配置“ tcpdump” 将镜像流量直接流到 snort传感器吗?(而不生成大量pcap文件并将其保存到硬盘驱动器)?

我该如何解决?

附录:使用iptables --tee选项镜像所有流量是否可以工作?我想我需要从OpenWRT存储库安装此“ TEE iptables扩展 ” ipkg或此“ TEE内核模块 ” ipkg才能工作?这项工作还是我需要其他东西?

openwrt 
用户名
source
1
这是一个很好的问题,我很好奇听到任何答案。不过,我已投票决定将其移至超级用户,因为他们对消费类设备和OpenWRT等备用固件更有经验。
EEAA 2014年

Answers:

4

是iptables TEE可以工作。我有一个tplink路由器,出于与您相同的原因,我正在完全镜像流量。

安装TEE的所有必要模块和软件包。

假设您的监视IP地址是10.1.1.205,请运行:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
迈索斯
source
3

一个补丁的OpenWrt启用端口镜像您的硬件是可用的,虽然它已收到有限测试。当然,您可以自己进行应用和测试。

迈克尔·汉普顿
source
我在问题中提到了此功能。问题是在镜像WAN端口时-您仅获得公用路由器IP和目标服务器的IP。但是我希望客户端的内部IP及其确切的连接为snort传感器提供支持。
user3200534
如果要镜像其他端口,则需要选择该端口!
迈克尔·汉普顿
是的,您可以在1-4个LAN插槽(端口)之间进行选择。没有WLan!没有VPN!仅在设备背面的eth端口或端口0(= WAN)。这与路由器的所有流量相去甚远。
user3200534
嗯 我认为您无法反映所有流量。毕竟,这是硬件开关的功能。因此,您将不会获得WLAN流量或虚拟接口上的流量。但是,处于类似情况的其他人可能会发现这很有用。
迈克尔·汉普顿
您可以分享详细信息如何应用此补丁吗?
AK_18年
0

现在可以通过Switch配置在OpenWrt上设置端口镜像。可以使用OpenWrt Web界面(LuCI),方法是进入“ 网络”->“切换”菜单,然后启用“启用传入数据包镜像”和/或“启用传出数据包镜像”并设置所需的接口。否则,这可以通过编辑网络配置文件(/etc/config/network的switch部分来实现。

皮尔斯
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.