URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79859
[ Назад ]

Исходное сообщение
"linux port mirroring (зеркалирование портов)"
Отправлено xsi , 17-Апр-08 05:44

Доброй ночи.. Вот засиделся над интересным вопросом.
Можно ли из никсовой тачки сделать полноценный умный свич 2+?
Вроде все функции нашел, кроме зеркалирования портов.
Вариант зеркалирования не всего траффика тоже приветствуется.
т.е. Задача состоит в том, что бы перенаправлять траффик из шлюза на левую тачку. Например для анализа сего траффика. Конечно можно и на шлюзе, но не хочется его грузить.
Если есть идеи - подкиньте пожалста.
ЗЫ. Если "я не умею юзать гугл" - ткните пальцем плиз.

Содержание

linux port mirroring (зеркалирование портов),CrAzOiD, 06:13 , 17-Апр-08
~~ptables '-t mangle' route tee oif,Andrey Mitrofanov, 10:32 , 17-Апр-08
- упс...,Andrey Mitrofanov, 10:33 , 17-Апр-08
- ~~ptables '-t mangle' route tee oif,xsi, 13:37 , 22-Апр-08
linux port mirroring (зеркалирование портов),Pahanivo, 10:43 , 17-Апр-08
linux port mirroring (зеркалирование портов),Hetzer, 11:40 , 23-Апр-08
- linux port mirroring (зеркалирование портов),Andrey Mitrofanov, 12:03 , 23-Апр-08
  - linux port mirroring (зеркалирование портов),Hetzer, 13:01 , 23-Апр-08
    - linux port mirroring (зеркалирование портов),Herbata, 01:06 , 08-Окт-08
    - linux port mirroring (зеркалирование портов),xsi, 03:13 , 17-Ноя-09

Сообщения в этом обсуждении

"linux port mirroring (зеркалирование портов)"
Отправлено CrAzOiD , 17-Апр-08 06:13

>Доброй ночи.. Вот засиделся над интересным вопросом.
>Можно ли из никсовой тачки сделать полноценный умный свич 2+?
>Вроде все функции нашел, кроме зеркалирования портов.
>Вариант зеркалирования не всего траффика тоже приветствуется.
>т.е. Задача состоит в том, что бы перенаправлять траффик из шлюза на
>левую тачку. Например для анализа сего траффика. Конечно можно и на
>шлюзе, но не хочется его грузить.
>Если есть идеи - подкиньте пожалста.
>
>ЗЫ. Если "я не умею юзать гугл" - ткните пальцем плиз.
виртуальный интерфейс типа "бридж" это не то?

"~~ptables '-t mangle' route tee oif"
Отправлено Andrey Mitrofanov , 17-Апр-08 10:32

>ЗЫ. Если "я не умею юзать гугл" - ткните пальцем плиз.
Тыкаю - я тоже не нашёл. $)
Пошёл в iptables(8) и, поискав "copy", нашёл ``-t mangle ... -j ROUTE --tee --oif $SPAN```
G:(iptables "-t mangle" route tee oif) или окло того, соответственно.

"упс..."
Отправлено Andrey Mitrofanov , 17-Апр-08 10:33

>Пошёл в iptables(8) и, поискав "copy", нашёл ``-t mangle ... -j ROUTE
>--tee --oif $SPAN```
Только это не на "уровне свича", а на уровне IP.

"~~ptables '-t mangle' route tee oif"
Отправлено xsi , 22-Апр-08 13:37

>>ЗЫ. Если "я не умею юзать гугл" - ткните пальцем плиз.
>
>Тыкаю - я тоже не нашёл. $)
>
>Пошёл в iptables(8) и, поискав "copy", нашёл ``-t mangle ... -j ROUTE
>--tee --oif $SPAN```
>G:(iptables "-t mangle" route tee oif) или окло того, соответственно.
Спасибо. Идея хороша, но у меня нету в iptables ROUTE. Пересобирать не улыбает, ибо возможно криво оно сделано. Если ктото может меня разуверить в этом, пожалста :)

"linux port mirroring (зеркалирование портов)"
Отправлено Pahanivo , 17-Апр-08 10:43

FreeBSD
man bridge, if_bridge

"linux port mirroring (зеркалирование портов)"
Отправлено Hetzer , 23-Апр-08 11:40

>Доброй ночи.. Вот засиделся над интересным вопросом.
>Можно ли из никсовой тачки сделать полноценный умный свич 2+?
>Вроде все функции нашел, кроме зеркалирования портов.
>Вариант зеркалирования не всего траффика тоже приветствуется.
>т.е. Задача состоит в том, что бы перенаправлять траффик из шлюза на
>левую тачку. Например для анализа сего траффика. Конечно можно и на
>шлюзе, но не хочется его грузить.
>Если есть идеи - подкиньте пожалста.
>
>ЗЫ. Если "я не умею юзать гугл" - ткните пальцем плиз.
apt-get install bridge-utils ebtables

"linux port mirroring (зеркалирование портов)"
Отправлено Andrey Mitrofanov , 23-Апр-08 12:03

>apt-get install bridge-utils ebtables
И как в bridge-utils сделать "span port"?
PS: 2xsi: Да, в моём ядре тоже нет модуля ROUTE. В iptables(8) про это написано -- мол, может не быть. То ли, действительно, не работает толком, то ли по принципу "детям спички не игрушка" дистрибуторы не кладут в коробку потенциально опасные "опции".

"linux port mirroring (зеркалирование портов)"
Отправлено Hetzer , 23-Апр-08 13:01

>>apt-get install bridge-utils ebtables
>
>И как в bridge-utils сделать "span port"?
Никак, если поставили себе однобокую задачу: как всё что поступает на 1 физический интерфейс отобразить на 2-м физическом интерфейсе.
Поставлена задача (в топике собственно), анализировать ethernet на eth0, через eth1 к которому прицеплен IDS.
Бросились искать ответ в мирроринге аналогично свитчам? но что такое switch в общем понимании? правильно, это набор bridges. Логично оперировать более общим понятием ethernet frames routing on bridges, чем его частные случаи SPAN или RAP или что-там ещё крупные вендоры придумали
Если дальше ещё не ясно, что я хотел донести, то извините, что нагло прервал вашу беседу.

"linux port mirroring (зеркалирование портов)"
Отправлено Herbata , 08-Окт-08 01:06

>Логично оперировать более общим понятием
>ethernet frames routing on bridges, чем его частные случаи SPAN или
>RAP или что-там ещё крупные вендоры придумали
>Если дальше ещё не ясно, что я хотел донести, то извините, что
>нагло прервал вашу беседу.
Мне не ясно.
Ув. Hetzer, нельзя ли поподробнее вот с этого места, для начинающих. Ну не могу я пока понять, каким образом один пакет в двух направлениях поехать должен... :( Хоть укажите, куда копать?

"linux port mirroring (зеркалирование портов)"
Отправлено xsi , 17-Ноя-09 03:13

>Если дальше ещё не ясно, что я хотел донести, то извините, что
>нагло прервал вашу беседу.
Мне тоже не ясно. Во фрихе есть такой функционал. В Линуксе еще не докопал (если кто знает где - тыцните).