Estoy intentando configurar el SO en mi red doméstica para el laboratorio y ver si puedo monitorear todo el tráfico de ingreso / egreso desde mi enrutador SOHO. No tengo un conmutador con puertos SPAN o una conexión de red, así que estoy usando OpenWRT en combinación con la funcionalidad de creación de reflejo de iptables a través de --tee.
Mi interfaz de administración en mi VM de SO es 192.168.1.100/24. Estoy usando las siguientes rutas de iptables, agregadas a través de SSL a OpenWRT, y verificadas en el estado - > interfaz de usuario web del cortafuegos.
iptables -t mangle -A PREROUTING -d 192.168.1.0/24 -j TEE - gateway 192.168.1.100
iptables -t mangle -A POSTROUTING -s 192.168.1.0/24 -j TEE - gateway 192.168.1.100
OpenWRT dice que, de hecho, está enviando tráfico en la subred .1 a .100, sin embargo, cuando inicio sesión en la máquina SO y trato de desencadenar eventos IDS desde otra máquina en la subred, nada marca. Intenté hacer tcpdump para verificar el tráfico, y tampoco veo ningún tráfico extranjero en la máquina virtual. Todo lo que veo son solo solicitudes DHCP.
¿Pensamientos sobre lo que podría estar haciendo mal aquí? ¡Aprecie cualquier ayuda!
Actualización 1/13/18 - Resolvió el problema. La tarjeta inalámbrica tenía problemas con vmware & modo promisc. Una vez que cambié a un cable, ¡pude ver todo el tráfico entrante de otros hosts en la subred!