Portál AbcLinuxu, 8. května 2025 13:20

Dotaz: Ako sprevadzkovat ETH mirroring

20.9.2013 09:46 miro
Ako sprevadzkovat ETH mirroring
Přečteno: 395×
Odpovědět | Admin
Kvoli snortu potrebujem mirrorovat vsetok traffic z jednej sietovky na druhu, ktora bude prepojena s PC, kde bezi snort. Ake riesenie bude najvhodnejsie? Bridge, iptables tee alebo DaemonLogger?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.9.2013 10:28 Ivan
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Odpovědět | | Sbalit | Link | Blokovat | Admin
staticky arp na switchi.
20.9.2013 10:34 Ivan
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Teda kecam ne arp, ale MAC. Rekneme ze mas server(anebo router) v portu "1" a ten ma MAC adresu AB:CD. Tak staticky nastavis, ze i port "2" ma za sebou MAC adresu AB:CD. A do portu "2" pripojis server se SNORTem. Nema to zadny overhead a monitorovany server o tom vubec nevi.
20.9.2013 11:05 miro
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Pouzity switch nie je menezovatelny.
20.9.2013 11:03 NN
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Odpovědět | | Sbalit | Link | Blokovat | Admin
Vyuzi funkce prepinace 'port mirroring'..
20.9.2013 11:06 miro
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Hladam riesenie na Linuxe (ako je v nadpise naznacene). Pouzita switchova infrastruktra neumoznuje port mirroring, span a podobne veci.
20.9.2013 12:43 NN
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Pokud mas novejsi jadro sel bych do tee, pokud ne sel bych do bridge.
20.9.2013 12:49 Mike Stuffel
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Odpovědět | | Sbalit | Link | Blokovat | Admin
naco robit veci este zlozitejsimi ako su najjednoduhsie je pouzitie HUB-u - aj ked to nevyhovuje zadaniu - http://cs.wikipedia.org/wiki/Hub - takto robime bezne diagnostiku siete
Jendа avatar 20.9.2013 13:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Dá se sehnat gigabitový HUB? Asi ne. I stovkové jsou vzácné.
20.9.2013 13:42 tomas.marny
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
20.9.2013 13:41 xxl | skóre: 26
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
Odpovědět | | Sbalit | Link | Blokovat | Admin
Takhle: 
tc qdisc add dev eth0 ingress
tc filter add dev eth0 parent ffff: protocol ip prio 1 u32 match u32 0 0 flowid 1:1 action mirred egress mirror dev eth1
23.9.2013 00:40 xxl | skóre: 26
Rozbalit Rozbalit vše Re: Ako sprevadzkovat ETH mirroring
To by fungovalo jenom pro příchozí traffic. Pro oba směry je to takhle: 
tc qdisc add dev eth0 ingress
tc filter add dev eth0 parent ffff: protocol ip prio 1 u32 match u32 0 0 flowid 1:1 action mirred egress mirror dev eth1

tc qdisc add dev eth0 root handle 1: prio
tc filter add dev eth0 parent 1: protocol ip prio 1 u32 match u32 0 0 flowid 1:1 action mirred egress mirror dev eth1
Rozumí se, že provoz z eth0 se zrcadlí na eth1.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.