Eu quero espelhar todo o tráfego (também VPN, WLAN, WAN) de um roteador consumidor (TPLink WR1043ND v.1.x) para um sensor snort localizado na mesma rede, mas sem hardware extra! O espelhamento deve ser feito pelo roteador (executando o OpenWrt Barrier Breaker).
O espelhamento da porta WAN do roteador seria suportado pelo firmware atual , mas os dados deste fluxo são inúteis para mim, porque não contém os IPs internos dos dispositivos conectados ao roteador! Eu quero o tráfego espelhado de dentro do roteador, com todos os IPs internos.
Então, rapidamente pensei em tcpdump -i any . Mas, que eu saiba, não é possível configurar o 'tcpdump' para transmitir o tráfego espelhado diretamente para o snort sensor? (sem gerar e salvar arquivos pcap enormes no disco rígido)?
Como posso resolver isso?
Edit: Esta pergunta NÃO é respondida!
Apêndice: Isso funcionaria ao usar a opção iptables --tee espelhando todo o tráfego? Eu acho que eu precisaria instalar este ' TEE iptables extensões ' ipkg ou este 'Kernel modules for TEE 'ipkg do repositório OpenWRT para funcionar? Isso funcionaria ou eu preciso de algo mais?
Sim, o TEE do iptables funciona. Eu tenho um roteador tplink e estou espelhando o tráfego exatamente pelo mesmo motivo que você.
Instale todos os módulos e pacotes necessários para o TEE.
Supondo que o endereço IP do seu laptop seja "10.1.1.205", execute:
iptables -A POSTROUTING -t mangle -o br-lan! -s 10.1.1.205 -j TEE --gateway 10.1.1.205
iptables -A PREROUTING -t mangle -i br-lan! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
Um patch para OpenWrt para habilitar o espelhamento de portas em seu hardware está disponível, embora tenha recebido apenas testes limitados. Você pode, claro, aplicar e testar você mesmo.
Tags openwrt