別のVLANにハニーポットサーバーを設定しようとしています。私が働いている会社には3つのVLANがあります(10、20、30)。私の目標は、Raspberry Piを使用して各VLANで単純なハニーポットとブロードキャストスニファー(ARPとDHCP用)をホストすることです。
私はトランクを介してメインスイッチに接続しており、各VLANに対して次のように通信できる仮想インターフェイスが必要だと思います。
VLAN 10:192.168.1.0/24(ここに192.168.1.100があることを願っています)をお願いします)ここ)。 60.100 ここ)
私が知っている限り、eth0:1、eth0:2、eth0:3を使用して各機器に基本IP情報を割り当てることができることがわかります。これはうまくいくでしょうか?
答え1
この「簡単な」ケース(つまり、ブリッジポートとブリッジポートがなく、VLANが重複している場合やその他の複雑な設定が含まれている場合)の場合、デフォルト設定を使用して3つのVLANサブインターフェイスを作成するだけです。完了すると、物理インターフェイスやVLANについて考える必要なく、通常どおり3つのインターフェイスがあると考えることができます。デフォルト設定では、各インターフェイスの単一のVLAN IDにのみ自動的にタグ付けされ、タグが解除されます。これらのインターフェイスの命名規則の1つは、中央にドットがあるデフォルトのインターフェイス名の後にVLAN IDを追加することです。
ip link add eth0.10 link eth0 type vlan id 10
ip link add eth0.20 link eth0 type vlan id 20
ip link add eth0.30 link eth0 type vlan id 30
ip link set eth0 up
ip link set eth0.10 up
ip link set eth0.20 up
ip link set eth0.30 up
それはすべてです。これで、VLANについて考えることなく、基本的なイーサネットインターフェイスのように通常どおりに設定できます。ifconfig
どちらが10年を過ぎたのか忘れて、ip ...
代わりに使用してください。:
この内容の残りの部分は、追加のifconfig
インターフェイスを追加するのではなく、同じインターフェイスに追加のIPを設定するために使用されます。
ip address add dev eth0.10 192.168.1.100/24
ip address add dev eth0.20 192.168.2.100/24
ip address add dev eth0.30 192.168.60.100/24
たとえば、オンのフレームが表示されtcpdump
ますが、通常は(オン)のフレームのみが表示されます。カーネルはvlanサブインターフェイスの自動タグ付け/タグ解除を処理します。直接受信するためにDHCPなどの特別なネットワークツールを使用しないでください。一部のツールはタグと混同される可能性があります。ethertype 802.1Q
eth0
ethertype ARP
ethertype IPv4
eth0.10
eth0
発生する可能性のある問題は、VLANではなくルーティングによって発生します。このようなマルチホーム設定では、ポリシールーティングなしでどこからでもIPを自由に使用できると期待できません。複数のデフォルトゲートウェイを持つ場合、または同じ宛先に対して2つの異なるパスを使用しない限り、ポリシールーティングは必要ありません。
インターフェースを手動で構成する代わりに、システム設定を使用してこれらのインターフェースを作成および構成することを検討する必要があります。たとえば、Debianifupdown
~のVLAN拡張オプションまたはNetworkManager
どちらもこれらのインターフェイスを作成して設定できます。
また、Rui F Ribeiroが述べたように、トラフィックを処理するためのハードウェアを使用する必要があり、RPiが不十分な場合があります。