Сделать указанную фильтрацию журнала ip из входного зеркалирования портов с помощью iptables

Question

Сделать указанную фильтрацию журнала ip из входного зеркалирования портов с помощью iptables

Мне сложно создать правило трафика iptables, поступающее от коммутатора, который настроен как зеркалирование портов.

Я проверил, отправляется ли трафик с моего коммутатора с помощью tcpdump -> Tcpdump обнаруживает трафик.

Итак, я попробовал несколько конфигураций с iptables, чтобы иметь возможность определять IP-адрес назначения, но ничего не обнаружено. Проблема в том, что у меня более 2000 направлений ip для входа. Snort, похоже, не отвечает, потому что слишком много пакетов установлено на моем CF, и его трудно отправить внешнему менеджеру журналов с помощью syslog.

Итак, я хочу сделать с iptables. Как вы думаете, это будет возможно сделать? Если да, пожалуйста, дайте мне несколько синтаксисов или правило iptables.

Спасибо за вашу помощь

0

iptables port-mirroring

Источник

marco 24 сен '14 в 23:15

1 ответ

Решение

Другие вопросы по тегам iptables port-mirroring

fukawi2 25 сен '14 в 00:19 2014-09-25 00:19 · Accepted Answer · 2014-09-25 00:19

Пакеты, не предназначенные для "этого" хоста, отбрасываются до того, как ядро (и, следовательно, iptables) даже увидит их.

Вам нужно перевести интерфейс в случайный режим (это то, что делает tcpdump):

ip link set eth0 promisc on

замещать eth0 с соответствующим интерфейсом для вашей коробки.