ラボにホームネットワークでSOを設定して、SOHOルーターからのすべての入出力トラフィックを監視できるかどうかを確認しようとしています。SPANポートを備えたスイッチがないので、またはネットワークタップを使用して、OpenWRTを--teeを介したiptablesミラーリング機能と組み合わせて使用しています。
私のSO VMは192.168.1.100/24です。私は次のiptablesルートを使用しています。SSL経由でOpenWRTに追加し、ステータス->ファイアウォールWeb UI。
iptables -t mangle -A PREROUTING -d 192.168.1.0/24 -j TEE --gateway 192.168.1.100
iptables -t mangle -A POSTROUTING -s 192.168.1.0/24 -j TEE --gateway 192.168.1.100
OpenWRTは、確かに.1サブネット上のトラフィックを.100に送信していると述べていますが、SOマシンにログインして、サブネット上の別のマシンからIDSイベントをトリガーしようとすると、何もフラグが立てられません。 tcpdumpを実行してトラフィックを確認しましたが、VMにも外部トラフィックが表示されません。表示されるのはDHCP要求だけです。
ここで私が間違っている可能性があることについての考え?どんな援助にも感謝します!
2018年1月13日更新-問題を解決しました。ワイヤレスカードは、vmwareおよびpromiscモードで問題が発生していました。ケーブルに交換すると、サブネット内の他のホストからのすべての受信トラフィックを確認できました。
2018年1月13日更新-問題を解決しました。ワイヤレスカードは、vmwareおよびpromiscモードで問題が発生していました。メディア(CAT5E)を変更すると、サブネット内の他のホストからのすべての受信トラフィックを確認できました。