Ich möchte den Datenverkehr protokollieren und überwachen, der über einen bestimmten Punkt in meinem Netzwerk läuft. Letztendlich möchte ich, dass der gesamte Datenverkehr, der über meine Bridge läuft, auf die IP-Adresse eines anderen Systems gespiegelt wird, das den an es gesendeten Datenverkehr abhört.
Mein aktuelles Setup sieht ungefähr so aus:
- Monitoring-/Logging-Server mit einer Monitoring-Schnittstelle im Promiscuous-Modus
- Linux-Bridge an dem Punkt im Netzwerk, den ich überwachen möchte
- iptables-Regeln zum Versuch, den Verkehr auf ein alternatives Gateway zu spiegeln
iptables -t mangle -A PREROUTING -j TEE --gateway <monitoring ip>iptables -t mangle -A POSTROUTING -j TEE --gateway <monitoring ip>
Bisher sehe ich jedoch keinen Datenverkehr, der über eine Schnittstelle zur Überwachungs-IP fließt, sofern ich nicht versuche, sie direkt anzupingen (wobei ich dann den Datenverkehr sowohl auf der Bridge als auch auf dem Überwachungsport sehen kann).
Es gibt noch ein weiteres Problem, das erwähnenswert sein könnte. Ich musste eine statische Route für die ARP-Auflösung des Überwachungsports einrichten, da aus irgendeinem Grund immer die MAC des Managementports als Adresse verwendet wurde. Ich habe nicht herausgefunden, warum die Bridge die Management-MAC-Adresse für die Überwachungs-IP erhält, wenn dies kein anderer Client im Netzwerk tut.
Ich bin für jeden Rat dankbar. Es tut mir leid, wenn ich nicht genügend klare Einzelheiten geliefert habe.
Antwort1
Standardmäßig werden umgeschaltete Frames nicht durch iptables-Regeln geleitet. Um dieses Verhalten zu ändern, sollten Sie die Option nf_call_iptables auf der Bridge-Schnittstelle aktivieren (mit dem Befehl ip oder über das Dateisystem /proc).
ip link set dev br0 type bridge nf_call_iptables 1
Um den Überwachungsverkehr zu begrenzen, verwenden Sie die Übereinstimmung --phys-dev in den iptables-Regeln.