Eu tentei fazer isso com o iptables / netfilter e não funcionou. Eu também tentei ligar a interface sniffing com um segundo NIC e isso não funcionou. No final, comprei um Regen Tap para enviar dados de uma única sessão de SPAN para 2 caixas de IDS diferentes. Eu também comprei um Shark Tap para ficar entre o roteador de borda e o switch. Eu pluguei meu IDS no Shark Tap. Não sei se o Shark Tap falha "aberto", mas esteja ciente de que usá-lo inline pode causar uma interrupção se ele queimar.
EDIT: Você também pode tentar sua sorte em uma rede DIY TAP , mas esteja ciente você não recebe (AFAIK) TX e RX no mesmo fluxo. Apenas um ou outro. É meio gorduroso, mas se você está interessado apenas em ingresso ou saída, pode ser a coisa certa.