Я установил две физические машины с виртуализацией KVM, используя Red Hat в качестве ОС (h1 и h2). В h1 я установил виртуальные машины w1 и db1, а в h2 - виртуальные машины w2, db1 и ids. Идентификаторы виртуальных машин содержат snort как систему IDS. После установки я выполнил команду:
brctl установка br0 0
чтобы разрешить snort sniff сетевой трафик, но он передает только трафик, связанный с физической машиной h2, которая является хостом snort machine, но не имеет ничего общего с машиной h1 и их виртуальными гостями.
Возможно ли с snort, установленным на виртуальной машине KVM, обнаруживать трафик остальных машин в сети или может обнаруживать только трафик машин, использующих один и тот же мост?
Спасибо
Коммутатор, к которому подключены ваши две физические машины, сам будет изучать, какие порты отправлять трафик, поэтому он узнает, что нет смысла отправлять трафик, предназначенный для чего-либо, находящегося на хосте h1, через порт, к которому подключен хост h2.
Посмотрите на настройку диапазона или зеркального порта на вашем коммутаторе, это позволяет вам настроить выделенный порт, который будет получать копии трафика на других отмеченных портах (порты, подключенные к h1 и h2). Затем вам нужно подключить этот выделенный порт к вашей виртуальной машине с идентификаторами.