Недавно мы обнаружили ошибку в способности поставщика оборудования переносить агрегат на порт мониторинга. Они дали нам оценку не менее 6 месяцев разработки, чтобы получить исправление. Поскольку это оперативное требование для нас, нам нужно найти другой способ получить доступ к этим пакетным данным. Есть ли способ отразить весь трафик с сетевого интерфейса в Linux на другой интерфейс (как входящий, так и исходящий)? Затем мы могли бы подключить блок мониторинга ко второму порту и собирать данные оттуда.
Две возможные идеи:
Создайте мост между двумя интерфейсами и используйте brctl setageingtime 0 чтобы гарантировать, что никакие адреса не будут изучены, и все пакеты, не предназначенные для узла моста, пересылаются через интерфейсы.
Sourcefire's Демонлоггер может записывать весь трафик с одного интерфейса на другой.