¿Reflejando todo el tráfico del enrutador (openwrt) a un sensor de inhalación?

15

¡Quiero reflejar todo el tráfico (también VPN, WLAN, WAN) desde un enrutador de consumidor (TPLink WR1043ND v.1.x) a un sensor snort ubicado en la misma red, pero sin hardware adicional! La duplicación debe ser realizada por el enrutador (ejecutando OpenWrt Barrier Breaker).

¡Duplicar el puerto WAN del enrutador incluso sería compatible con el firmware actual , pero los datos de esta transmisión son inútiles para mí, ya que no contienen las IP internas de los dispositivos conectados al enrutador! Quiero el tráfico reflejado desde el interior del enrutador, con todas las IP internas.

Entonces, rápidamente pensé en eso tcpdump -i any. Pero, que yo sepa, ¿no es posible configurar 'tcpdump' para transmitir el tráfico reflejado directamente al sensor snort? (sin generar y guardar enormes archivos pcap en el disco duro)?

¿Cómo puedo solucionar esto?


Apéndice: ¿Funcionaría esto con el uso de la iptables --teeopción de duplicar todo el tráfico? Creo que necesitaría instalar este ipkg ' TEE iptables extensiones ' o este ' Kernel modules for TEE ' ipkg desde el repositorio de OpenWRT para que funcione. ¿Funcionaría o necesito algo más?

usuario3200534
fuente
1
Esta es una buena pregunta, y tengo curiosidad por escuchar las respuestas. Sin embargo, he votado para que se traslade a Superusuario, ya que tienen más experiencia con equipos de consumo y firmware alternativo como OpenWRT.
EEAA

Respuestas:

4

Sí. Iptables TEE funciona. Tengo un enrutador tplink y estoy reflejando el tráfico exactamente por la misma razón que usted.

Instale todos los módulos y paquetes necesarios para TEE.

Suponiendo que su dirección IP de monitoreo es 10.1.1.205, ejecute:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
Methos
fuente
3

Está disponible un parche para OpenWrt para habilitar la duplicación de puertos en su hardware, aunque solo ha recibido pruebas limitadas. Por supuesto, puede solicitarlo y probarlo usted mismo.

Michael Hampton
fuente
Me referí a esta característica en mi pregunta. El problema es cuando duplica el puerto WAN: solo obtiene la IP del enrutador público y la IP del servidor de destino. Pero quiero que las IP internas de los clientes y sus conexiones exactas alimenten al sensor de inhalación.
user3200534
Si desea duplicar un puerto diferente, ¡entonces debe seleccionar ese puerto!
Michael Hampton
Sí, puede elegir entre 1-4 ranuras LAN (puertos). No WLan! ¡No hay VPN! Solo eth-ports en la parte posterior del dispositivo o puerto 0 (= WAN). Eso está muy lejos de todo el tráfico del enrutador.
user3200534
Hmm No creo que puedas reflejar todo el tráfico. Esto es, después de todo, una función del interruptor de hardware . Por lo tanto, no obtendrá tráfico WLAN, por ejemplo, ni tráfico en interfaces virtuales. Sin embargo, alguien más en una situación similar puede encontrar esto útil.
Michael Hampton
¿Puedes compartir detalles cómo aplicarías este parche?
AK_
0

Ahora es posible configurar la duplicación de puertos en OpenWrt a través de la configuración del Switch. Esto puede hacerse usando la interfaz web OpenWrt (LuCI) yendo al menú Red-> Cambiar y luego habilitando 'Activar duplicación de paquetes entrantes' y / o 'Activar duplicación de paquetes salientes' y configurando las interfaces deseadas. De lo contrario, esto se puede lograr editando la sección del interruptor del archivo de configuración de red ( /etc/config/network).

Pierz
fuente