Я пытаюсь настроить Snort IDS на виртуальной машине для своей лаборатории. Моя проблема в том, что обычно такие IDS подключаются к зеркалированному порту коммутатора. В моей лаборатории такого устройства нет. Вот моя топология:
[Internet]->[Linux Firewall+NAT]->[Local Subnets]
Я хотел бы подключить мою виртуальную машину Snort (подключенную к моей подсети 192.168.0.0/24) к моему брандмауэру Linux, есть ли способ, используя IPTABLES или что-то подобное, чтобы я мог этого добиться?
(Это может быть невозможно, поскольку мы хотим прослушивать кадры Trasport Layer ...)
Или можно было бы собрать данные на моем брандмауэре и позволить моей виртуальной машине Snort проанализировать их удаленно?
Какие у меня здесь варианты?
Спасибо, что поделились своими знаниями!
Запустите snort на брандмауэре Linux. Вы можете использовать виртуальную машину для запуска MySQL и настроить snort для входа в нее следующим образом:
output database: log, mysql, user=snort password=snortpass dbname=snort host=mysql.host