Seguridad Onion VMWare + OpenWRT IPTables Mirroring

2

Estoy intentando configurar el SO en mi red doméstica para el laboratorio y ver si puedo monitorear todo el tráfico de ingreso / egreso desde mi enrutador SOHO. No tengo un conmutador con puertos SPAN o una conexión de red, así que estoy usando OpenWRT en combinación con la funcionalidad de creación de reflejo de iptables a través de --tee.

Mi interfaz de administración en mi VM de SO es 192.168.1.100/24. Estoy usando las siguientes rutas de iptables, agregadas a través de SSL a OpenWRT, y verificadas en el estado - > interfaz de usuario web del cortafuegos.

  

iptables -t mangle -A PREROUTING -d 192.168.1.0/24 -j TEE - gateway 192.168.1.100

     

iptables -t mangle -A POSTROUTING -s 192.168.1.0/24 -j TEE - gateway 192.168.1.100

OpenWRT dice que, de hecho, está enviando tráfico en la subred .1 a .100, sin embargo, cuando inicio sesión en la máquina SO y trato de desencadenar eventos IDS desde otra máquina en la subred, nada marca. Intenté hacer tcpdump para verificar el tráfico, y tampoco veo ningún tráfico extranjero en la máquina virtual. Todo lo que veo son solo solicitudes DHCP.

¿Pensamientos sobre lo que podría estar haciendo mal aquí? ¡Aprecie cualquier ayuda!

Actualización 1/13/18 - Resolvió el problema. La tarjeta inalámbrica tenía problemas con vmware & modo promisc. Una vez que cambié a un cable, ¡pude ver todo el tráfico entrante de otros hosts en la subred!

    
pregunta user1504591 02.01.2018 - 05:01
fuente

1 respuesta

0

Actualización 1/13/18 - Resolvió el problema. La tarjeta inalámbrica tenía problemas con vmware & modo promisc. Una vez que cambié el medio (CAT5E), pude ver todo el tráfico entrante de otros hosts en la subred.

    
respondido por el user1504591 28.01.2018 - 03:57
fuente

Lea otras preguntas en las etiquetas