Snort в машинах KVM

Question

Snort в машинах KVM

Я установил две физические машины с виртуализацией KVM, используя Red Hat в качестве ОС ( h1 и h2). В h1 я установил виртуальные машины w1 и db1, а в h2 - виртуальные машины w2, db1 и ids. Идентификаторы виртуальной машины содержат snort как систему IDS. После установки я выполнил команду:

brctl setageing br0 0

чтобы разрешить snort прослушивать сетевой трафик, но только передает трафик, связанный с физической машиной h2, которая является хостом snort, но никак не связана с машиной h1 и их виртуальными гостями.

Возможно ли, если snort, установленный на виртуальной машине KVM, обнаруживает трафик остальных машин в сети или может обнаруживать трафик машин, использующих тот же мост?

Спасибо

0

kvm-virtualization snort

Источник

Emilio Macias 19 дек '14 в 13:38

1 ответ

Другие вопросы по тегам kvm-virtualization snort

bodgit 19 дек '14 в 14:09 2014-12-19 14:09 · Answer 1 · 2014-12-19 14:09

Коммутатор, к которому подключены две физические машины, сам будет изучать, какие порты отправлять трафик, поэтому он поймет, что нет смысла отправлять трафик, предназначенный для чего-либо, находящегося на хосте h1, ниже порта, к которому подключен хост h2.

Посмотрите на настройку span или зеркального порта на вашем коммутаторе, это позволяет вам настроить выделенный порт, который будет получать копии трафика на другие помеченные порты (порты, подключенные к h1 & h2). Затем вам нужно подключить этот выделенный порт к вашей виртуальной машине идентификаторов.