Phản ánh tất cả lưu lượng bộ định tuyến (openwrt) đến một cảm biến khịt mũi?

Tôi muốn phản ánh tất cả lưu lượng truy cập (cả VPN, WLAN, WAN) từ bộ định tuyến của người tiêu dùng (TPLink WR1043ND v.1.x) sang một cảm biến khịt mũi nằm trong cùng một mạng, nhưng không có phần cứng bổ sung! Việc phản chiếu phải được thực hiện bởi bộ định tuyến (chạy OpenWrt Barrier Breaker).

Phản ánh cổng WAN của bộ định tuyến thậm chí sẽ được hỗ trợ bởi phần sụn hiện tại , nhưng dữ liệu của luồng này là vô dụng đối với tôi, vì nó không chứa IP bên trong của các thiết bị được kết nối với bộ định tuyến! Tôi muốn lưu lượng được nhân đôi từ bên trong bộ định tuyến, với tất cả các IP bên trong.

Vì vậy, tôi nhanh chóng nghĩ về tcpdump -i any. Nhưng theo hiểu biết của tôi, không thể định cấu hình 'tcpdump' để truyền trực tiếp lưu lượng được nhân đôi đến cảm biến khịt mũi? (không tạo và lưu các tệp pcap khổng lồ vào ổ cứng)?

Tôi giải quyết điều này như thế nào?

Phụ lục: Điều này có hoạt động với việc sử dụng iptables --teetùy chọn phản chiếu tất cả lưu lượng truy cập không? Tôi nghĩ rằng tôi sẽ cần phải cài đặt ipkg ' TEE iptables ' hoặc ' mô-đun hạt nhân cho ipkg TEE ' từ kho lưu trữ OpenWRT để hoạt động? Điều này sẽ làm việc hoặc tôi cần một cái gì đó khác?

openwrt

— người dùng3200534
nguồn

Đây là một câu hỏi hay và tôi tò mò muốn nghe bất kỳ câu trả lời nào. Mặc dù vậy, tôi đã bình chọn để chuyển nó sang Superuser, vì họ có nhiều kinh nghiệm hơn với thiết bị tiêu dùng và phần sụn thay thế như OpenWRT.

— EEAA

Câu trả lời:

Có iptables TEE hoạt động. Tôi có một bộ định tuyến tplink và tôi đang phản ánh chính xác lưu lượng truy cập cho cùng một lý do như bạn.

Cài đặt tất cả các mô-đun và gói cần thiết cho TEE.

Giả sử địa chỉ IP giám sát của bạn là 10.1.1.205, hãy chạy:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

— Metơ
nguồn

Một bản vá cho OpenWrt để cho phép phản chiếu cổng trên phần cứng của bạn có sẵn, mặc dù nó chỉ nhận được thử nghiệm hạn chế. Tất nhiên, bạn có thể áp dụng và kiểm tra nó.

— Michael Hampton
nguồn

Tôi đã đề cập đến tính năng này trong câu hỏi của tôi. Vấn đề là khi phản chiếu cổng WAN - bạn chỉ nhận được IP và bộ định tuyến công cộng của máy chủ đích. Nhưng tôi muốn các IP bên trong của máy khách và các kết nối chính xác của chúng để cung cấp cảm biến khịt mũi.

— dùng3200534

Nếu bạn muốn phản chiếu một cổng khác, thì bạn cần chọn cổng đó!

— Michael Hampton

Có, bạn có thể chọn giữa 1-4 khe LAN (cổng). Không có WLan! Không có VPN! Chỉ các cổng eth ở mặt sau của thiết bị hoặc cổng 0 (= WAN). Đó là rất xa từ tất cả lưu lượng của bộ định tuyến.

— dùng3200534

Hừm. Tôi không nghĩ rằng bạn có thể phản chiếu tất cả lưu lượng truy cập. Rốt cuộc, đây là một chức năng của chuyển đổi phần cứng . Vì vậy, bạn sẽ không nhận được lưu lượng truy cập WLAN, ví dụ hoặc lưu lượng truy cập trên các giao diện ảo. Một số người khác trong một tình huống tương tự có thể thấy điều này hữu ích, mặc dù.

— Michael Hampton

bạn có thể chia sẻ chi tiết làm thế nào bạn sẽ áp dụng bản vá này?

— AK_

Bây giờ có thể thiết lập phản chiếu cổng trên OpenWrt thông qua cấu hình Switch. Điều này có thể được thực hiện bằng giao diện web OpenWrt (LuCI) bằng cách vào menu Network-> Switch sau đó bật 'Bật phản chiếu các gói đến' và / hoặc 'Bật phản chiếu các gói đi' và thiết lập giao diện mong muốn. Nếu không, điều này có thể đạt được bằng cách chỉnh sửa phần chuyển đổi của tệp cấu hình mạng ( /etc/config/network).

— Cầu tàu
nguồn