Скопируйте весь трафик моста в определенный интерфейс

Question 1

У меня есть мост / коммутатор, настроенный на машину с несколькими портами. Иногда у меня есть виртуальная машина, работающая через virtualbox, и я использую виртуальный адаптер, а затем добавляю адаптер к мосту. Я слышал, что некоторые коммутаторы могут копировать весь трафик, который они видят, на определенный порт на мосту, обычно для мониторинга сети. Я хотел бы иметь возможность запускать некоторые сетевые инструменты на базе Windows. Я не хочу запускать Windows на реальном оборудовании, потому что было бы много работы, чтобы скопировать мои настройки в Windows, поэтому я подумал, что если я смогу скопировать весь трафик на порт, я могу отправить его на виртуальную машину с Windows. Как я могу настроить это? Я думаю, что это может быть область ebtables, но я не знаю ebtables достаточно хорошо, чтобы знать наверняка, и всегда кажется, что (из моего понимания ebtables) ebtables что-то делает с трафиком (drop, accept и т.д.), но никогда копирует это.

Question 2

Я не верю, что это возможно с программным мостом на основе Linux (по крайней мере, не в его текущей версии). Если это так, то это должна быть опция в утилите brctl .

Да, многие физические коммутаторы Ethernet имеют своего рода функцию зеркалирования / мониторинга, которая позволит вам назначить интерфейс в мосте для отправки всего трафика. Похоже, это было бы хорошим дополнением для таких ситуаций, как ваша.

Редактировать : для этого можно использовать правило управления трафиком .

Question 3

Question 4

Я думаю, что daemonlogger действительно захочет, чтобы вы хотели.

Он может работать в двух режимах: анализировать пакеты и записывать их непосредственно на диск (файлы автоматически переносятся после 1 ГБ данных), или в режиме «мягкого касания», когда он отражает пакеты на другом интерфейсе.

Это хранилище, поэтому sudo apt-get install daemonlogger поможет вам начать.

Синтаксис будет аналогичен

sudo daemonlogger -i <input_interface> -o <mirror_interface>

, где аргументы объясняются как

   -i <interface>
   Set interface to grab data from to <interface>.

   -o <interface>
   Disable logging, instead mirror  traffic  from  -i  <interface>  to  -o
   <interface>.

Самое большое предостережение в том, что вам нужно убедиться, что порт назначения способен принимать ретранслируемый трафик.

Если вам нужно более подробное руководство по настройке, вам нужно будет предоставить более подробную информацию о вашем мосту и настройке интерфейса.

mpontillo · Answer 1 · 15 March 2011 в 02:38