KVM机器中的Snort

Question

我使用Red作为操作系统( h1和h2)安装了两台具有KVM虚拟化的物理机器。在h1中，我安装了虚拟机w1和db1，在h2中安装了虚拟机w2、db1和ids。虚拟机ids包含snort作为IDS系统。安装之后，我运行命令：

brctl设置老化br0 0

为了允许snort嗅探网络流量，但只传递与物理机器h2相关的流量，主机是snort机器，而与机器h1及其虚拟客人无关。

是否可以在KVM虚拟机中安装snort，检测网络中其他机器的通信量，还是只能检测共享同一桥的机器的通信量？

谢谢

Answer 1

您的两台物理机器插入的交换机本身将学习哪些端口要发送流量，这样它就会知道，通过主机h1连接的端口发送目的地为主机h2上的任何东西是没有意义的。

在您的交换机上配置span或镜像端口，这允许您配置一个专用端口，该端口将在其他标记端口(连接到h1和h2的端口)上接收贸易副本。然后，您需要将该专用端口附加到您的ids。