내 목표는 내가 소유한 두 라우터 사이에 상자를 추가하여 네트워크 트래픽을 모니터링 및 분석하고, 이를 두 라우터의 syslog 서버로 사용하고, 적절한 경우 메일 경고를 보낼 수 있도록 하는 것입니다. 오래된 중계기 허브를 사용하면 원하는 것을 달성하는 것이 더 쉬울 수도 있지만 구입할 수 있는 중계기 허브를 찾을 수 없었습니다.
Wireshark wiki의 팁에 따라 br 인터페이스를 추가하고 eth0/1을 0.0.0.0 IP 주소로 설정하고 인터페이스를 다시 활성화하여 Linux 시스템을 브리지로 설정했습니다. 그러나 나는 구성이 로깅 서비스에 사용할 네트워크 인터페이스를 제공하지 않는다는 것을 곧 깨달았고, br0 인터페이스에 대해 snort나 다른 모니터링 도구를 실행할 수 있는지 확신할 수 없었습니다. 후자를 테스트할 수 있지만 그렇게 하기 전에 다음을 수행하십시오.
- 다리 건설에 대한 네트워크 이해에 뭔가가 빠져 있는 걸까요?회의실제로 eth0/1 인터페이스에도 주소를 할당할 수 있습니까? (내가 번역했다면이 스택 교환 게시물맞습니다. 대답은 '아니요'라고 생각합니다. )
- 실제로 이 상자를 브리지로 구성하면서 목표를 달성하도록 구성할 수 없는 경우 상자를 라우터로 설정하는 것 외에 이를 달성할 수 있는 다른 방법이 있습니까?
- 또는 리피터 허브를 찾을 수 없고 포트 미러링이 가능한 스위치가 없는 경우 이를 라우터로 설정하는 것이 최선의 접근 방식입니까?
답변1
첫째, eth0 및 eth1을 0.0.0.0으로 설정하는 대신 IP 주소를 전혀 할당하지 않습니다. (하지만 0.0.0.0이 IP가 없는 것으로 보일 수도 있습니다. 확실하지는 않습니다. 시도한 적이 없습니다.) 그런 다음 브리지에 IP 주소를 할당합니다.
# ip addr ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
⋮
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master lan-br state UP group default qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: lan-br: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
inet 192.168.XX.XX/24 brd 192.168.XX.XX scope global lan-br
valid_lft forever preferred_lft forever
inet6 fe80::XXXX:XXXX:XXXX:XXXX/64 scope link
valid_lft forever preferred_lft forever
# brctl show
bridge name bridge id STP enabled interfaces
lan-br 8000.XXXXXXXXXXXX no eth0
현재 내 브리지(eth0)에는 VM을 브리지하기 위해 존재하는 장치가 하나만 있습니다(현재 실행 중인 장치는 없음). 물론 eth0과 eth1이 있습니다.
br, eth0 또는 eth1을 모니터링하려면 snort를 사용할 수 있어야 합니다. 교통은 이 세 곳을 통해 흐릅니다. 빠른 테스트를 통해 tcpdump -n -i br이를 확인할 수 있습니다.