Настройка интерфейса виртуальной сети в качестве сниффинг-интерфейса

418
synthesis

У меня есть Snort IDS под управлением Ubuntu Server 16.04 с одним физическим интерфейсом Ethernet (eno1). Я настроил два виртуальных сетевых интерфейса, используя интерфейс eno1: eno1: 0 для интерфейса анализатора и eno1: 1 для интерфейса управления, для которого настроен статический IP-адрес. Проблема, с которой я сталкиваюсь, заключается в том, что только интерфейс управления (eno1: 1) работает, а интерфейс сниффинга (eno1: 0) не работает, как указано в выходных данных ifconfig ниже:

eno1 Link encap:Ethernet HWaddr c4:34:6b:61:d1:b3 inet6 addr: fe80::c634:6bff:ac61:d1b3/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:28019 errors:0 dropped:0 overruns:0 frame:0 TX packets:1046 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3471780 (3.4 MB) TX bytes:116452 (116.4 KB) Interrupt:20 Memory:f7c00000-f7c20000  eno1:1 Link encap:Ethernet HWaddr c4:34:6b:61:d1:b3 inet addr:192.168.1.154 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:20 Memory:f7c00000-f7c20000  lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:162 errors:0 dropped:0 overruns:0 frame:0 TX packets:162 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:12020 (12.0 KB) TX bytes:12020 (12.0 KB)

Ниже приведены настройки как для сниффинга, так и для управления интерфейсами, содержащимися в / etc / network / interfaces:

# sniffer interface auto eno1:0  iface eno1:0 inet manual up ifconfig $IFACE 0.0.0.0 up up ip link set $IFACE promisc on down ip link set $IFACE promisc off down ifconfig $IFACE down  post-up ethtool -K eno1:0 gro off post-up ethtool -K eno1:0 lro off  # management interface auto eno1:1  iface eno1:1 inet static address 192.168.1.154 netmask 255.255.255.0 broadcast 192.168.1.255 gateway 192.168.1.2 dns-nameservers 1.1.1.1

Параметры конфигурации для интерфейса анализатора были использованы по этой ссылке, но интерфейс отслеживания не работает. В чем может быть проблема?

0

1 ответ на вопрос

0
dirkt

На современных Linux, eno1:0и eno1:1это всего лишь артефакт, который был использован для назначения нескольких IP - адресов на одном интерфейсе eno1. Новая утилита ipделает это напрямую. Так что это не совсем "виртуальные интерфейсы".

В частности, вы не можете поместить один из них в беспорядочный режим, в то время как другой нормальный.

Есть ли что-то, что мешает вам просто использовать eno1, настроить его нормально и просто snortперевести в беспорядочный режим?

Что касается только использования eno1, то это текущая настройка, и она работает. Причиной использования двух виртуальных интерфейсов было следование наилучшей практике отделения интерфейса управления от интерфейса анализатора. synthesis 5 лет назад 0
Насколько мне известно, таким способом невозможно разделить один физический интерфейс на виртуальные. Либо интерфейс беспорядочный, либо нет. (Хотя вы могли бы, например, использовать MACVLAN, но тогда он будет иметь другой MAC-адрес, если процесс, использующий его, решит отправлять пакеты, а не просто получать их, так что это больше похоже на два разных интерфейса в одном сегменте локальной сети, а не на нормальный интерфейс и интерфейс сниффинга). Но я уверен, что кто-то исправит меня, если я ошибаюсь. :-) dirkt 5 лет назад 0

Похожие вопросы