Автор Тема: Зеркалирование трафика между интерфейсами [решено] (Прочитано 5178 раз)

Zanzarah · « : 02.06.2016 15:18:22 »

И снова здравствуйте. Не далеко ушел я... (: ну или так сказать не полегчало...
После всех манипуляций произведенных с сервером в результате вашей поддержки из темы https://forum.altlinux.org/index.php?topic=36726.0, мы имеем сервер с 2 интерфейсами:
enp4s0f0 - 10.69.45.251/24
enp4s0f1 - 192.168.1.2/24
А вот теперь следующий пункт, есть интерфейс enp4s0f1 который смотрит в интернет и раздает его через прокси в локальную сеть. И теперь необходимо сделать зеркалирование трафика который проходит по нему на другой интерфейс (третий), что бы подключить его к средству обнаружения вторжений.
Будьте добры, подскажите как это можно сделать? И можно ли вообще?
Заранее спасибо (:

asy · « **Ответ #1 :** 02.06.2016 15:23:02 »

Можно, начиная с ядер 3.x. iptables, правило tee:

Код: [Выделить]

iptables -t mangle -A POSTROUTING <условия> -j TEE --gateway <куда (IP)>

Если не хочется на IDS на интерфейе поднимать IP, можно сделать как-то так:

Код: [Выделить]

arp -s 10.255.255.2 00:00:11:11:22:22
iptables -t mangle -A POSTROUTING <условия> -j TEE --gateway 10.255.255.2

MAC либо на настоящий поменять, который на сетевухе у IDS, либо на управляемом коммутаторе прописать на нужном порту.

Zanzarah · « **Ответ #2 :** 02.06.2016 20:42:54 »

Ай, блин, а у меня 1.х iptables. -_- Спасибо (:

asy · « **Ответ #3 :** 02.06.2016 21:21:12 »

Цитата: Zanzarah от 02.06.2016 20:42:54

Ай, блин, а у меня 1.х iptables. -_- Спасибо (:

3.x к ядру относится, а не к iptables. В общем, с OpenVZ-ядрами не работает (они 2.6 пока), а с остальными уже в p6 работало.

Zanzarah · « **Ответ #4 :** 02.06.2016 22:16:44 »

понял, учту... Во всяком случае ipables сказал, что tee - bad argument

asy · « **Ответ #5 :** 02.06.2016 22:30:52 »

Цитата: Zanzarah от 02.06.2016 22:16:44

понял, учту... Во всяком случае ipables сказал, что tee - bad argument

uname -a что показывает ?

Zanzarah · « **Ответ #6 :** 03.06.2016 08:41:35 »

Код: [Выделить]

uname -a
linux srv.mlpu.ru 3.14.53-std-def-alt1.M70C.3 #1 SMP Mon Feb 1 12:56:42 UTC 2016 x86_64 GNU/Linux

P.S. сейчас прописал TEE, а не tee - и не жалуется. Подскажите, какое должно быть условие после POSTROUTING? (Я просто не сильно бум-бум в этом деле)

asy · « **Ответ #7 :** 03.06.2016 09:48:06 »

Цитата: Zanzarah от 03.06.2016 08:41:35

Подскажите, какое должно быть условие после POSTROUTING?

Самое обычное, на тему, что надо. Например, "-i eth0". Если надо ещё "-o eth0", то вторым правилом. Можно по IP, по портам привязаться.

Zanzarah · « **Ответ #8 :** 03.06.2016 18:30:50 »

Все, спасибо, победил.

zah_al · « **Ответ #9 :** 27.01.2017 09:21:16 »

У меня сейчас такая же задача. Я чёт немного втупляю, вот мы имеем интерфейс который в инет идёт, другой в локалку. Тут всё понятно, у одного ip интернетный, что провайдер даёт, у второго из локальной подсети адрес. А 3-й интерфейс, с ним как? Ему нужно ip прописывать? И на стороне средства обнаружения надо прописывать? И тогда получается какие им адреса лепить? Они вообще как, через tcp общаются между собой?

asy · « **Ответ #10 :** 27.01.2017 10:37:27 »

Цитата: zah_al от 27.01.2017 09:21:16

А 3-й интерфейс, с ним как? Ему нужно ip прописывать? И на стороне средства обнаружения надо прописывать? И тогда получается какие им адреса лепить?

На шлюзе IP надо, на IDS - как угодно. Можно с, можно без.

Цитата: zah_al от 27.01.2017 09:21:16

Они вообще как, через tcp общаются между собой?

В общем-то, им не нужно общаться. На IDS просто надо лить IP-трафик, что можно обеспечить несколькими способами.

zah_al · « **Ответ #11 :** 27.01.2017 11:03:23 »

Цитата: asy от 27.01.2017 10:37:27

Цитата: zah_al от 27.01.2017 09:21:16
А 3-й интерфейс, с ним как? Ему нужно ip прописывать? И на стороне средства обнаружения надо прописывать? И тогда получается какие им адреса лепить?
На шлюзе IP надо, на IDS - как угодно. Можно с, можно без.
Цитата: zah_al от 27.01.2017 09:21:16
Они вообще как, через tcp общаются между собой?
В общем-то, им не нужно общаться. На IDS просто надо лить IP-трафик, что можно обеспечить несколькими способами.

Ну я примерно так и понял, что одна сторона тупо траффик льёт, другая его тупо смотрит. Не оч понял, что вы под шлюзом в данном контексте называете, и ху из IDS?

asy · « **Ответ #12 :** 27.01.2017 11:21:00 »

Цитата: zah_al от 27.01.2017 11:03:23

Не оч понял, что вы под шлюзом в данном контексте называете,

Шлюз = маршрутизатор. Точка входа трафика. Но, на самом деле, не обязательно шлюз. Потребность в любом месте может возникнуть.

Цитата: zah_al от 27.01.2017 11:03:23

и ху из IDS?

https://ru.wikipedia.org/wiki/Система_обнаружения_вторжений. Но, может, я погорячился, и следовало назвать анализатором.

zah_al · « **Ответ #13 :** 27.01.2017 12:58:10 »

Цитата: asy от 27.01.2017 11:21:00

Цитата: zah_al от 27.01.2017 11:03:23
Не оч понял, что вы под шлюзом в данном контексте называете,
Шлюз = маршрутизатор. Точка входа трафика. Но, на самом деле, не обязательно шлюз. Потребность в любом месте может возникнуть.
Цитата: zah_al от 27.01.2017 11:03:23
и ху из IDS?
https://ru.wikipedia.org/wiki/Система_обнаружения_вторжений. Но, может, я погорячился, и следовало назвать анализатором.

точка входа - это интерфейс интернета и интерфейс локалки, там ессно есть айпишники. интерфейс с зеркалированием я так понимаю остаётся без ip адреса

asy · « **Ответ #14 :** 27.01.2017 14:28:30 »

Цитата: zah_al от 27.01.2017 12:58:10

точка входа - это интерфейс интернета и интерфейс локалки,

Эта вот штука, где интерфейс локалки и интернета, и называется шлюз. Он же маршрутизатор.

Цитата: zah_al от 27.01.2017 12:58:10

интерфейс с зеркалированием я так понимаю остаётся без ip адреса

Нет. На шлюзе он нужен, так как в TEE надо указывать IP. А вот дальше уже не нужен, так как и таблицу ARP можно руками заполнить на шлюзе, и таблицу MAC на управляемом коммутаторе.

Форум сообщества
Альт Линукс