Назад | Перейти на главную страницу

сделать указанную фильтрацию журнала IP из входа зеркалирования порта с помощью iptables

Мне сложно создать правило iptables для трафика, поступающего от коммутатора, настроенного для зеркалирования портов.

Я проверил, отправляется ли трафик с моего коммутатора с помощью tcpdump -> Tcpdump обнаруживает трафик.

Итак, я попробовал несколько конфигураций с iptables, чтобы определить IP-адрес назначения, но ничего не обнаружено. Проблема в том, что у меня есть более 2000 IP-адресов для регистрации. Похоже, что Snort не отвечает, потому что слишком много пакетов для установки на моем CF и их трудно отправить во внешний диспетчер журналов с помощью отправки syslog.

Итак, я хочу заняться iptables. Как думаете, это можно будет сделать? Если да, дайте мне синтаксис или правило iptables.

Спасибо за вашу помощь

Пакеты, не предназначенные для «этого» хоста, отбрасываются до того, как ядро ​​(и, следовательно, iptables) даже увидит их.

Вам нужно перевести интерфейс в неразборчивый режим (это то, что делает tcpdump):

ip link set eth0 promisc on

Заменить eth0 с соответствующим интерфейсом для вашего бокса.