У меня есть брандмауэр (Debian Stable 7.5), который работает в мостовом режиме. Интерфейсы eth0 (WAN) и eth1 (LAN) связаны с интерфейсом моста br0.
Могу ли я развернуть NIDS (например, Фырканье) на этом сервере? Если да, то какой интерфейс следует слушать?
Я считаю, что в этом случае он должен прослушивать трафик на br0. Однако, если его правила не заботятся об исходных адресах, и вы не хотите блокировать или предупреждать о потенциальных исходящих вторжениях (а почему бы и нет?), Вы, скорее всего, сможете без вреда обнюхивать интерфейс WAN.
Сниффинг более или менее пассивен и просто позволяет вам проверять все, что происходит через интерфейс.