У меня есть следующие 3 ПК, подключенные к маршрутизатору через Ethernet:
ПК1 – 192.168.1.101 (Linux Ubuntu)
ПК2 – 192.168.1.100 (Windows)
ПК3 – 192.168.1.1 (Windows)
Все компьютеры могут пинговать друг друга.
На ПК1 установлена Suricata в режиме IDS. В нее включено простое правило ping:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Я запускаю Suricata, введя следующую команду на ПК1:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 — основной интерфейс Ethernet на ПК1:
Правило ping срабатывает, когда я пингую PC1 с PC2 и PC3, и соответствующее сообщение записывается в файл журнала. Это правило также срабатывает, когда я пингую PC2 и PC3 с PC1.
Однако это правило не срабатывает, когда я пингую PC2 с PC3 и наоборот. Suricata слушает только интерфейс eth3 на PC1. Трафик не проходит через PC1, когда я пингую PC2 с PC3, хотя все 3 ПК находятся в одной сети.
Можно ли настроить Suricata для мониторинга всей сети, а не только того ПК, на котором он установлен?