私の目標は、自分が所有している2つのルーターの間にボックスを追加してネットワークトラフィックを監視および分析し、それらを2つのルーターのsyslogサーバーとして使用し、適切な場合にメール警告を送信できるようにすることです。古いリピーターハブを使用すると、必要なものを達成するのが簡単になる可能性がありますが、購入できるリピーターハブを見つけることができませんでした。
Wireshark wikiのヒントに従ってbrインターフェイスを追加し、eth0/1を0.0.0.0 IPアドレスに設定し、インターフェイスを再度有効にしてLinuxシステムをブリッジに設定しました。しかし、私はすぐに設定がロギングサービスに使用するネットワークインターフェイスを提供しないことに気づき、br0インターフェイスに対してsnortまたは他の監視ツールを実行できるかどうかはわかりませんでした。後者をテストできますが、そうする前に次の手順を実行してください。
- 橋の建設のためのネットワークの理解に何かが欠けているのでしょうか?会議実際、eth0/1インターフェイスにアドレスを割り当てることはできますか? (私が翻訳したならこのスタック交換ポストそうですね。答えは「いいえ」と思います。 )
- 実際には、このボックスをブリッジとして設定して目標を達成するように設定できない場合は、ボックスをルータに設定する以外にこれを達成する他の方法はありますか?
- または、リピータハブが見つからず、ポートミラーリングが可能なスイッチがない場合は、ルータとして設定するのが最善の方法ですか?
ベストアンサー1
まず、eth0とeth1を0.0.0.0に設定する代わりに、IPアドレスをまったく割り当てません。 (しかし、0.0.0.0はIPがないように見えるかもしれません。わかりません。試したことはありません。)次に、ブリッジにIPアドレスを割り当てます。
# ip addr ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
⋮
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master lan-br state UP group default qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: lan-br: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
inet 192.168.XX.XX/24 brd 192.168.XX.XX scope global lan-br
valid_lft forever preferred_lft forever
inet6 fe80::XXXX:XXXX:XXXX:XXXX/64 scope link
valid_lft forever preferred_lft forever
# brctl show
bridge name bridge id STP enabled interfaces
lan-br 8000.XXXXXXXXXXXX no eth0
現在、私のブリッジ(eth0)には、VMをブリッジするために存在する1つのデバイスしかありません(現在実行中のデバイスはありません)。もちろん、eth0とeth1があります。
br、eth0、またはeth1を監視するには、snortを使用できる必要があります。交通はこれら3つの場所を通って流れます。クイックテストでtcpdump -n -i brこれを確認できます。