Espelhando todo o tráfego do roteador (openwrt) para um sensor de snort?

13

Eu quero espelhar todo o tráfego (também VPN, WLAN, WAN) de um roteador consumidor (TPLink WR1043ND v.1.x) para um sensor snort localizado na mesma rede, mas sem hardware extra! O espelhamento deve ser feito pelo roteador (executando o OpenWrt Barrier Breaker).

O espelhamento da porta WAN do roteador seria suportado pelo firmware atual , mas os dados deste fluxo são inúteis para mim, porque não contém os IPs internos dos dispositivos conectados ao roteador! Eu quero o tráfego espelhado de dentro do roteador, com todos os IPs internos.

Então, rapidamente pensei em tcpdump -i any . Mas, que eu saiba, não é possível configurar o 'tcpdump' para transmitir o tráfego espelhado diretamente para o snort sensor? (sem gerar e salvar arquivos pcap enormes no disco rígido)?

Como posso resolver isso?

Edit: Esta pergunta NÃO é respondida!

Apêndice: Isso funcionaria ao usar a opção iptables --tee espelhando todo o tráfego? Eu acho que eu precisaria instalar este ' TEE iptables extensões ' ipkg ou este 'Kernel modules for TEE 'ipkg do repositório OpenWRT para funcionar? Isso funcionaria ou eu preciso de algo mais?

    
por user3200534 17.05.2014 / 04:21

2 respostas

4

Sim, o TEE do iptables funciona. Eu tenho um roteador tplink e estou espelhando o tráfego exatamente pelo mesmo motivo que você.

Instale todos os módulos e pacotes necessários para o TEE.

Supondo que o endereço IP do seu laptop seja "10.1.1.205", execute:

iptables -A POSTROUTING -t mangle -o br-lan! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

    
por 26.05.2014 / 03:51
3

Um patch para OpenWrt para habilitar o espelhamento de portas em seu hardware está disponível, embora tenha recebido apenas testes limitados. Você pode, claro, aplicar e testar você mesmo.

    
por 17.05.2014 / 05:06

Tags