HowTo:通过内置Snort传感器的OpenWRT路由/隧道所有流量

Question

我希望在OpenWRT路由器离开本地网络之前，所有通过专用Snort/Suricata机器重定向/隧道的流量。Snort/Suricata机器应该充当内联被动(!)IDS，但只有一个eth0设备。

• OpenWRT路由器隔离器(192.168.1.1)提供以太网局域网、WiFi和OpenVPN。
• 客户(192.168.1.x)
• VPN客户端(192.168.10.x)
• Snort/Suricata机器(192.168.1.200)

1. 我必须在OpenWRT路由器上使用哪些iptables来重定向/隧道通过IDS传感器的所有通信量？
2. 我必须在Snort/Suricata机器上使用什么iptables？当流量进入eth0时，会进行检查，然后在eth0将机器退出到路由器及其目的地。

我知道通常使用包镜像，但我只对描述的场景感兴趣。

Answer 1

使用VLAN。参见:路由器在棍子上，http://wikipedia.org/wiki/One-armed_路由器