在网桥或路由器配置中使用Linux盒进行网络/安全监视和分析

Question

我的目标是在我拥有的两个路由器之间添加一个盒子，以便我可以监视和分析网络流量，将它用作两个路由器的syslog服务器，并在适当的时候发送邮件警报。虽然使用旧的中继器集线器很可能更容易完成我想要的东西，但我一直未能找到一个供购买。

基于Wireshark的技巧，我通过添加br接口、将eth0 0/1设置为0.0.0.0 ip地址以及重新启动接口，将Linux盒设置为一个桥梁。但是，在这个过程中，我很快意识到，配置没有给我任何可以用于日志记录服务的网络接口，我也不确定我是否能够在br0接口上运行snort或其他监视工具。我可以测试后者，但在花时间做这件事之前：

1. 在我的网络中，我是否遗漏了一些关于建立一座桥梁的理解，这实际上允许我将地址分配给eth0/1接口？(如果我正确地解释了这个堆叠交换柱，我相信答案是否定的。)
2. 事实上，如果我不能配置这个盒子来完成我的目标，而配置成一个桥梁，那么除了将这个盒子设置为一个路由器之外，还有其他方法来完成这个任务吗？
3. 或者，如果我找不到中继器集线器(而且我没有一个能够进行端口镜像的交换机)，那么把它设置为一个路由器是最好的方法吗？

Answer 1

首先，您没有将eth0 & eth1设置为0.0.0.0，而是根本不分配IP地址。(但您的0.0.0.0可能被视为没有IP，不确定--从未尝试过)。然后给桥分配一个IP地址。

# ip addr ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
⋮
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master lan-br state UP group default qlen 1000
    link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: lan-br: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
    inet 192.168.XX.XX/24 brd 192.168.XX.XX scope global lan-br
       valid_lft forever preferred_lft forever
    inet6 fe80::XXXX:XXXX:XXXX:XXXX/64 scope link 
       valid_lft forever preferred_lft forever

# brctl show
bridge name     bridge id               STP enabled     interfaces
lan-br          8000.XXXXXXXXXXXX       no              eth0

我的网桥目前只有一个设备(eth0)，它是用来桥接虚拟机的(目前没有一个正在运行)。当然，你的eth0和eth1都有。

您应该能够使用snort监视器br、eth0或eth1。这三条交通都通过了。使用tcpdump -n -i br进行快速测试可以为您确认这一点。