모든 LAN 트래픽을 모니터링하기 위해 Windows Server 2022 PC를 설정했습니다. 내 컴퓨터는 이더넷을 통해 모니터 PC에 연결되어 있으며 이를 Firewall내 DD-wrt 라우터의 스크립트로 사용합니다.
iptables -t mangle -A POSTROUTING -d 0.0.0.0/0 -j ROUTE --tee --gw 192.168.1.254
iptables -t mangle -A PREROUTING -s 0.0.0.0/0 -j ROUTE --tee --gw 192.168.1.254
이더넷 어댑터를 와이어샤크할 때 미러링된 트래픽이 표시되지 않습니다. 내가 놓친 아이디어가 있나요?
답변1
설정에 두 가지 문제가 있을 수 있습니다.
1. 귀하의 dd-wrt가 귀하가 관심 있는 트래픽을 볼 수 있습니까?
귀하의 dd-wrt는 아마도 실제로는 작은 스위치와 라우터 콤보일 것입니다. 스위치 구성 요소가 단순 관리되지 않는 스위치로 구현된 경우 두 로컬 시스템 간의 모든 트래픽은 스위치 구성 요소에 의해서만 처리될 수 있으며 라우터 구성 요소는 이를 전혀 볼 수 없습니다. 이 경우 라우터 구성 요소로 트래픽을 가져오는 유일한 방법은 스위치 구성 요소에 대해 MAC 테이블 공격을 수행하는 것입니다.
이 문제가 발생하는 경우 포트 미러링 기능이 있는 관리형 스위치가 필요할 수 있습니다.
2. 오래된 iptables 플러그인을 사용하려고 합니다.
어느 것도 아니다일반 iptables문서...도 아니다dd-wrt 관련 문서이라는 iptables 대상을 언급하세요 ROUTE.
존재하더라도 필터 체인 ROUTE에서 대상을 호출하려고 합니까 POSTROUTING? 나는 현재 존재하는 iptables 처리에서 "그 배가 항해했습니다"라고 믿습니다. POSTROUTING 단계에서 라우팅 결정 단계로 돌아갈 방법이 없습니다. (간단한 다이어그램,더 자세한 그림) 중복 패킷은 원본 패킷과 동일한 인터페이스에서 전송되어야 하며 이는 정확하지 않을 수 있습니다.
이 답변은 Server Failure.SE에 있습니다.귀하와 유사한 구문이 제안되지만 답변은 더 이상 액세스할 수 없는 것으로 보이는 2008년 블로그를 참조하여 2011년에 작성되었습니다. patch-o-matic과 관련된 또 다른 링크:오래된 iptables 추가 기능 시스템주요 커널 소스 코드에 들어가기에는 너무 새롭거나 테스트되지 않았습니다. 패치오매틱은 처음에는 패치오매틱 NG로 대체됐고 이후 현재의 패치오매틱 NG로 대체됐다.xtables 플러그인, ROUTE목표물은 분명히 도중 어딘가에 떨어졌습니다.
10년 이상 된 dd-wrt 버전을 실행 중이더라도 patch-o-matic 애드온이 포함될 수도 있고 포함되지 않을 수도 있습니다. iptables -L -vn -t mangle스크립트 명령이 실제로 승인되고 적용되는지 확인한 적이 있습니까 ?
현대의 등가물은 TEE의 대상을 사용하며 iptables-extensions, 이미 모니터 호스트로 전송된 패킷을 복사하지 못하도록 주의 깊게 조건을 추가했습니다.
iptables -t mangle -A PREROUTING -d \! 192.168.1.254 -j TEE --gateway 192.168.1.254
위 명령은 이 호스트로 들어오는 모든 트래픽을 처리해야 하지만 로컬에서 생성된 나가는 트래픽의 경우 다른 줄이 필요합니다.
iptables -t mangle -A OUTPUT -d \! 192.168.1.254 -j TEE --gateway 192.168.1.254
복제는 PREROUTING 단계에서 발생하므로(문서 예제에 나와 있듯이 TEE확장에 대한 문서가 거의 없기 때문에 POSTROUTING 단계에서 수행할 수 있는지 확실하지 않습니다)
면책조항: 저는 실제로 이것에 대해 어떤 것도 테스트하지 않았습니다.