我正在尝试在实验室的虚拟机上设置 Snort IDS。我的问题是,通常情况下,这些类型的 IDS 连接到交换机的镜像端口。我的实验室没有这样的设备。这是我的拓扑:
[Internet]->[Linux Firewall+NAT]->[Local Subnets]
我想将我的 Snort VM(连接到我的 192.168.0.0/24 子网)连接到我的 Linux 防火墙,有没有办法,使用 IPTABLES 或类似的东西,我可以实现这个?
(这可能是不可能的,因为我们想听传输层帧...)
或者是否可以在我的防火墙上收集数据并让我的 Snort VM 远程分析它?
我在这里有什么选择?
感谢您分享您的知识!
在 Linux 防火墙上运行 snort。您可以使用 VM 来运行 MySQL 并配置 snort 以记录到它,如下所示: