1台のマシンに2つの無差別（スニッフィング）ポートを設定できますか？

もちろんです。具体的には、「無差別」モードは、そのインターフェースで見られるすべてのパケットをアプリケーション層に渡す、ネットワークスタック上の単なるフラグです。例としてsnortを使用すると、これは多くの場合、マルチホームシステムを適切に監視する方法です。 1つNIC各アップリンクを監視しています。

IDSとしてsnortを使用する場合は、インターフェース仕様の処理方法に注意してください。インターフェイスオプションは、特定のインターフェイスまたはanyのいずれか1つの引数のみを受け入れます。 anyの問題は、ループバックを含め、プロセスがallインターフェイスをリッスンすることです。さらに、snortはシングルスレッドです（バージョン3.0で変更される予定です）。私は、snortdの複数のインスタンスを実行し、それぞれが単一のインターフェイスでリッスンすることを強くお勧めします。これがどのように達成されるかは、ディストリビューションによって異なります。 RedHatベースのシステムでは、ファイル/etc/sysconfig/snortを編集し、INTERFACE変数を設定します。たとえば、モニタリングにeth1とeth2を使用する場合は、

INTERFACE="eth2 eth3"

Initスクリプトは、リストされたインターフェースごとに個別のプロセスを自動的に起動します。