모든 라우터 트래픽 (openwrt)을 snort 센서에 미러링합니까?

소비자 라우터 (TPLink WR1043ND v.1.x)에서 추가 하드웨어없이 동일한 네트워크에 위치한 코인 센서로 모든 트래픽 (VPN, WLAN, WAN)을 미러링하고 싶습니다! 미러링은 라우터 (OpenWrt Barrier Breaker 실행)에 의해 수행되어야합니다.

라우터의 WAN 포트 미러링은 현재 펌웨어에서도 지원 되지만 이 스트림 의 데이터 는 라우터에 연결된 장치 의 내부 IP 를 포함하지 않기 때문에 쓸모 가 없습니다 ! 모든 내부 IP가있는 라우터 내부 에서 미러링 된 트래픽을 원합니다 .

그래서 나는 빨리 생각했다 tcpdump -i any. 그러나 내 지식으로는 미러 트래픽을 snort 센서로 직접 스트리밍 하도록 'tcpdump'를 구성 할 수 없습니까? (대용량 pcap 파일을 생성하여 하드 드라이브에 저장하지 않고)?

이 문제를 어떻게 해결합니까?

부록 : iptables --tee모든 트래픽을 미러링 하는 옵션 을 사용하여 작동 합니까? 작동하려면 OpenWRT 리포지토리 에서이 ' TEE iptables 확장 프로그램 'ipkg 또는이 ' TEE 용 커널 모듈 'ipkg 를 설치해야한다고 생각 합니까? 이것이 효과가 있습니까? 아니면 다른 것이 필요합니까?

예 iptables TEE가 작동합니다. 나는 tplink 라우터를 가지고 있으며 당신과 같은 이유로 정확하게 트래픽을 미러링하고 있습니다.

TEE에 필요한 모든 모듈과 패키지를 설치하십시오.

모니터링 IP 주소가이라고 가정하면 다음을 10.1.1.205실행하십시오.

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

OpenWrt 미러링 포트를 활성화하기위한 패치 가 제한적인 테스트를받은하지만 하드웨어에는 사용할 수 있습니다. 물론 직접 적용하고 테스트 할 수 있습니다.

이제 스위치 구성을 통해 OpenWrt에서 포트 미러링을 설정할 수 있습니다. 이것은 네트워크-> 스위치 메뉴로 이동 한 다음 '들어오는 패킷의 미러링 사용'및 / 또는 '나가는 패킷의 미러링 사용'을 활성화하고 원하는 인터페이스를 설정하여 OpenWrt 웹 인터페이스 (LuCI)를 사용하여 수행 할 수 있습니다 . 그렇지 않으면 네트워크 구성 파일 ( /etc/config/network) 의 스위치 섹션을 편집 하여이 작업을 수행 할 수 있습니다 .