在網橋或路由器配置中使用 Linux 機器進行網路/安全監控和分析

我的目標是在我擁有的兩個路由器之間添加一個框，以便我可以監控和分析網路流量，將其用作兩個路由器的系統日誌伺服器，並在適當時發送郵件警報。儘管使用舊的中繼器集線器很可能會更輕鬆地完成我想要的事情，但我一直無法找到購買的。

根據來自 Wireshark wiki 的提示，我通過添加 br 介面、將 eth0/1 設置為 0.0.0.0 ip 地址並重新啟動介面來設置 Linux 機器作為橋接器。但在此過程中我很快意識到，配置並沒有為我提供任何可用於日誌記錄服務的網路介面，而且我不確定是否可以針對 br0 介面執行 snort 或其他監控工具。我可以測試後者，但在我花時間這樣做之前：

1. 我是否在我的網路理解中遺漏了一些關於設置實際上允許我為 eth0/1 介面分配地址的網橋的內容？（如果我正確地解釋了這個堆棧交換文章，我相信答案是否定的。）
2. 如果事實上我無法配置這個盒子來實現我的目標，而配置為一個網橋，除了將盒子設置為路由器之外，還有其他方法可以實現嗎？
3. 或者，如果我找不到中繼器集線器（並且我沒有能夠進行埠鏡像的交換機），將其設置為總體上的路由器是最好的方法嗎？

首先，您沒有將 eth0 和 eth1 設置為 0.0.0.0，而是根本沒有分配 IP 地址。（但也許你的 0.0.0.0 被視為沒有 IP，不確定——從未嘗試過）。然後為網橋分配一個 IP 地址。

# ip addr ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
⋮
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master lan-br state UP group default qlen 1000
   link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: lan-br: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
   link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
   inet 192.168.XX.XX/24 brd 192.168.XX.XX scope global lan-br
      valid_lft forever preferred_lft forever
   inet6 fe80::XXXX:XXXX:XXXX:XXXX/64 scope link 
      valid_lft forever preferred_lft forever

# brctl show
bridge name     bridge id               STP enabled     interfaces
lan-br          8000.XXXXXXXXXXXX       no              eth0

我的網橋目前只有一個設備（eth0），它的存在是為了橋接虛擬機（目前沒有一個正在執行）。你的當然會有 eth0 和 eth1。

您應該能夠擁有 snort 監視器 br、eth0 或 eth1。流量流經所有三個。快速測試tcpdump -n -i br應該為您確認。

引用自：https://unix.stackexchange.com/questions/308977