Sto provando a installare SO nella mia rete domestica in laboratorio e vedere se riesco a monitorare tutto il traffico in ingresso / in uscita dal mio router SOHO. Non ho un interruttore con porte SPAN o un tocco di rete, quindi sto usando OpenWRT in combinazione con la funzionalità di mirroring w / iptables tramite --tee.
La mia interfaccia di gestione sul mio SO VM è 192.168.1.100/24. Sto usando i seguenti percorsi di iptables, aggiunti via SSL a OpenWRT e verificati nello stato - > interfaccia utente web firewall.
iptables -t mangle -A PREROUTING -d 192.168.1.0/24 -j TEE --gateway 192.168.1.100
iptables -t mangle -A POSTROUTING -s 192.168.1.0/24 -j TEE --gateway 192.168.1.100
OpenWRT dice che in effetti sta inviando traffico sulla sottorete .1 a .100, tuttavia quando accedo alla macchina SO e provo a far scattare eventi IDS da un'altra macchina nella sottorete, non viene visualizzato alcun flag. Ho provato a fare tcpdump per controllare il traffico, e non vedo alcun traffico estraneo sulla VM. Tutto quello che vedo sono solo richieste DHCP.
Pensieri su cosa potrei fare di sbagliato qui? Apprezzo qualsiasi tipo di assistenza!
Aggiornamento 13/01/18 - Risolto il problema. La scheda wireless stava avendo problemi con vmware e amp; modalità Promisc. Una volta passato a un cavo, sono riuscito a vedere tutto il traffico in arrivo da altri host nella sottorete!