Дзеркальне відображення всього трафіку маршрутизатора (openwrt) на сенсор фронт?

Я хочу відобразити весь трафік (також VPN, WLAN, WAN) від споживача маршрутизатора (TPLink WR1043ND v.1.x) до сенсора фронт, розташованого в тій же мережі, але без додаткового обладнання! Дзеркальне відображення повинно бути виконано маршрутизатором (запуск OpenWrt Barrier Breaker).

Дзеркальне відображення порту WAN маршрутизатора навіть підтримується поточною прошивкою , але дані цього потоку для мене марні , оскільки він не містить внутрішніх IP-адрес пристроїв, підключених до маршрутизатора! Я хочу, щоб дзеркальний трафік знаходився всередині маршрутизатора з усіма внутрішніми IP-адресами.

Отже, я швидко подумав tcpdump -i any. Але наскільки мені відомо, неможливо налаштувати 'tcpdump' для передачі дзеркального трафіку безпосередньо на сенсор фронт? (без створення та збереження величезних файлів pcap на жорсткому диску)?

Як я це вирішую?

Додаток: Чи працює це з використанням iptables --teeопції дзеркального відображення всього трафіку? Думаю, мені знадобиться встановити цей ipkg ' TEE iptables extensions ' або цей ipkg ' модулі ядра для TEE ' із сховища OpenWRT, щоб працювати? Це буде працювати чи мені потрібно щось інше?

openwrt

— user3200534
джерело

Це гарне запитання, і мені цікаво почути будь-які відповіді. Я проголосував за те, щоб його перенесли на Superuser, оскільки вони більш досвідчені із споживчими передачами та іншими прошивками, такими як OpenWRT.

— ЄЕАА

Відповіді:

Так працює iptables TEE. У мене є маршрутизатор tplink, і я відображаю трафік саме з тієї ж причини, що і ви.

Встановіть усі необхідні модулі та пакети для TEE.

Припустимо, що ваша IP-адреса моніторингу є 10.1.1.205, запустіть:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

— Метос
джерело

Патч для OpenWrt , щоб включити віддзеркалення портів на вашому обладнанні доступний, хоча він отримав тільки обмежене тестування. Можна, звичайно, самостійно застосувати та протестувати.

— Майкл Хемптон
джерело

Я звертався до цієї особливості у своєму питанні. Проблема полягає в дзеркальному відображенні порту WAN - ви отримуєте лише IP-адреси загальнодоступного маршрутизатора та IP-адреса сервера призначення. Але я хочу, щоб внутрішні IP-адреси клієнтів та їх точні з'єднання живили датчик фронт.

— користувач3200534

Якщо ви хочете віддзеркалити інший порт, тоді вам потрібно вибрати цей порт!

— Майкл Хемптон

Так, ви можете вибрати між 1-4 слотами LAN (портами). Ні WLan! Ні VPN! Тільки ет-порти на задній панелі пристрою або порт 0 (= WAN). Це дуже далеко не весь трафік маршрутизатора.

— користувач3200534

Хм. Я не думаю, що ти можеш віддзеркалити весь трафік. Це, зрештою, функція апаратного перемикача . Таким чином, ви не отримаєте, наприклад, трафік WLAN або віртуальний інтерфейс. Хтось, хто в подібній ситуації, може вважати це корисним.

— Майкл Хемптон

Ви можете поділитися деталями, як би ви застосували цей патч?

— AK_

Тепер можна налаштувати дзеркальне відображення порту на OpenWrt через конфігурацію Switch. Це можна зробити за допомогою веб-інтерфейсу OpenWrt (LuCI), перейшовши до меню Мережа-> Перемикач, увімкнувши «Увімкнути дзеркальне відображення вхідних пакетів» та / або «Увімкнути дзеркальне відображення вихідних пакетів» та встановити потрібні інтерфейси. В іншому випадку цього можна досягти, відредагувавши розділ комутації мережевого файлу конфігурації ( /etc/config/network).

— Пірс
джерело