Suricata，码头和主机网络:无非码头通信

Question

我创建了一个码头容器，上面有Suricata和Evebox。在我的主持人上，我首先：

ifconfig enp2s0:1 192.168.0.111 netmask 255.255.255.0 up

这将从我现有的接口中建立一个新的接口。然后，我将码头集装箱运行如下：

docker run --privileged --network host --cap-add NET_ADMIN --cap-add NET_RAW --rm suricata-evebox

然后我启动suricata/evebox：

mkdir -p /data/evebox
suricata -i enp2s0:1 -D
evebox -v -D /data/evebox --datastore sqlite --input /var/log/suricata/eve.json

下面是在机器上运行curl http://testmyids.com的场景：

• 在码头集装箱内:检测警报
• 在停靠主机上:检测警报
• 在本地网络上的机器上:看不到它

有没有办法让Suricata看到网络上的所有流量，而不仅仅是主机和容器的流量？

Answer 1

首先，这里有一个可能的解决方案，可以在路由器本身或任何您希望监视的机器上设置：https://superuser.com/questions/853077/iptables-duplicate-traffic-to-another-ip

如果在用例中这是不可能的，可以在路由器和所有客户端之间设置交换机的另一个选项，该交换机应该支持端口镜像。然后，将另一个NIC添加到ids/docker主机中，它将从镜像交换机的"WAN“端口接收所有通信量，该端口可以传递到suricata容器。