すべてのLANトラフィックを監視PCに送信

すべてのLANトラフィックを監視PCに送信

すべてのLANトラフィックを監視するためにWindows Server 2022 PCを設定しました。マイコンピュータはEthernetを介してモニタPCに接続されており、これをFirewallマイDD-wrtルータのスクリプトとして使用します。

iptables -t mangle -A POSTROUTING -d 0.0.0.0/0 -j ROUTE --tee --gw 192.168.1.254

iptables -t mangle -A PREROUTING -s 0.0.0.0/0 -j ROUTE --tee --gw 192.168.1.254

イーサネットアダプタをワイヤーシャークしても、ミラーリングされたトラフィックは表示されません。私が逃したアイデアはありますか?

答え1

設定には2つの問題がある可能性があります。


1.あなたのdd-wrtはあなたが興味のあるトラフィックを見ることができますか?

あなたのdd-wrtはおそらく実際には小さなスイッチとルーターのコンボです。スイッチコンポーネントが単純管理されていないスイッチとして実装されている場合、2つのローカルシステム間のすべてのトラフィックはスイッチコンポーネントによってのみ処理され、ルータコンポーネントはこれをまったく表示できません。この場合、ルータコンポーネントにトラフィックを取得する唯一の方法は、スイッチコンポーネントに対してMACテーブル攻撃を実行することです。

この問題が発生した場合は、ポートミラーリング機能を備えたマネージドスイッチが必要になることがあります。


2. 古い iptables プラグインを使用しようとします。

どちらもありません一般iptables文書...でもないdd-wrt関連文書というiptablesターゲットを参照してくださいROUTE

存在していても、フィルタチェーンROUTEでターゲットを呼び出そうとしますかPOSTROUTING?私は現在存在するiptables処理で「その船が航海しました」と信じています。 POSTROUTING フェーズからルーティング決定フェーズに戻る方法はありません。 (簡単な図詳細図)冗長パケットは元のパケットと同じインターフェイスで送信する必要があり、これは正確ではない可能性があります。

この回答はServer Failure.SEにあります。2008年のブログを参照して、2011年に作成されました。 patch-o-maticに関連する別のリンク:古いiptablesアドオンシステムメインカーネルソースコードに入るにはあまりにも新しいかテストされていません。パッチオマチックは最初はパッチオマチックNGに置き換えられ、その後現在のパッチオマチックNGに置き換えられた。xtablesプラグインROUTE目標は明らかに途中どこかに落ちた。

10年以上のdd-wrtバージョンを実行していても、patch-o-maticアドオンが含まれる場合と含まれない場合があります。iptables -L -vn -t mangleスクリプトコマンドが実際に承認され適用されていることを確認したことがありますか?

現代の同等物はTEEの宛先を使用しiptables-extensions、すでにモニターホストに送信されたパケットをコピーできないように注意深く条件を追加しました。

iptables -t mangle -A PREROUTING -d \! 192.168.1.254 -j TEE --gateway 192.168.1.254

上記のコマンドはこのホストに着信するすべてのトラフィックを処理する必要がありますが、ローカルで生成された発信トラフィックの場合は別の行が必要です。

iptables -t mangle -A OUTPUT -d \! 192.168.1.254 -j TEE --gateway 192.168.1.254

レプリケーションはPREROUTINGステップで発生するため(文書の例に示すように、TEE拡張に関する文書がほとんどないため、POSTROUTINGステップで実行できるかどうかはわかりません)。

免責事項:私は実際にこれについて何もテストしていません。

関連情報