Mencerminkan semua lalu lintas router (openwrt) ke sensor mendengus?

Saya ingin mencerminkan semua lalu lintas (juga VPN, WLAN, WAN) dari router konsumen (TPLink WR1043ND v.1.x) ke sensor mendengus yang terletak di jaringan yang sama, tetapi tanpa perangkat keras tambahan! Mirroring harus dilakukan oleh router (menjalankan OpenWrt Barrier Breaker).

Mencerminkan port WAN dari router bahkan akan didukung oleh firmware saat ini , tetapi data aliran ini tidak berguna bagi saya, karena tidak mengandung IP internal perangkat yang terhubung ke router! Saya ingin lalu lintas cermin dari dalam router, dengan semua IP internal.

Jadi, saya cepat-cepat memikirkannya tcpdump -i any. Tapi setahu saya tidak mungkin mengkonfigurasi 'tcpdump' untuk mengalirkan lalu lintas cermin langsung ke sensor mendengus? (tanpa menghasilkan dan menyimpan file-file pcap yang sangat besar ke harddisk)?

Bagaimana saya mengatasi ini?

Lampiran: Apakah ini bekerja dengan menggunakan iptables --teeopsi mirroring semua traffic? Saya pikir saya perlu menginstal ipkg ' TEE iptables extensions ' ini atau ' modul Kernel untuk TEE ' ipkg dari repositori OpenWRT agar dapat berfungsi? Apakah ini berfungsi atau saya perlu sesuatu yang lain?

openwrt pengguna3200534
sumber

Ini pertanyaan yang bagus, dan saya ingin sekali mendengar jawaban. Saya memilih untuk memindahkannya ke Superuser, karena mereka lebih berpengalaman dengan perangkat konsumen dan firmware pengganti seperti OpenWRT.

EEAA

Jawaban:

Ya iptables TEE berfungsi. Saya memiliki router tplink dan saya mencerminkan lalu lintas persis untuk alasan yang sama seperti Anda.

Instal semua modul dan paket yang diperlukan untuk TEE.

Dengan asumsi alamat IP pemantauan Anda 10.1.1.205, jalankan:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

Meto
sumber

Sebuah patch untuk OpenWRT untuk mengaktifkan port mirroring pada perangkat keras Anda tersedia, meskipun telah menerima hanya pengujian terbatas. Anda tentu saja dapat menerapkan dan mengujinya sendiri.

Michael Hampton
sumber

Saya merujuk fitur ini dalam pertanyaan saya. Masalahnya adalah ketika mirroring port WAN - Anda hanya mendapatkan IP router publik dan IP dari server tujuan. Tapi saya ingin IP internal klien dan koneksi mereka yang tepat untuk memberi makan sensor dengusan.

user3200534

Jika Anda ingin mirror port yang berbeda, maka Anda harus memilih port itu!

Michael Hampton

Ya, Anda dapat memilih antara 1-4 slot LAN (port). Tidak ada wlan! Tanpa VPN! Hanya et-port di bagian belakang perangkat atau port 0 (= WAN). Itu sangat jauh dari semua traffic router.

user3200534

Hmm. Saya tidak berpikir Anda dapat mencerminkan semua lalu lintas. Lagi pula, ini adalah fungsi dari peranti keras . Jadi Anda tidak akan mendapatkan lalu lintas WLAN, misalnya, atau lalu lintas di antarmuka virtual. Namun, orang lain dalam situasi yang sama mungkin menganggap ini berguna.

Michael Hampton

dapatkah Anda membagikan detail bagaimana Anda menerapkan tambalan ini?

AK_

Sekarang dimungkinkan untuk mengatur mirroring port pada OpenWrt melalui konfigurasi Switch. Ini dapat dilakukan dengan menggunakan antarmuka web OpenWrt (LuCI) dengan pergi ke menu Network-> Switch kemudian mengaktifkan 'Aktifkan mirroring paket yang masuk' dan / atau 'Aktifkan mirroring paket keluar' dan mengatur antarmuka yang diinginkan. Jika tidak, ini dapat dicapai dengan mengedit bagian sakelar dari file konfigurasi jaringan ( /etc/config/network).

Pierz
sumber