ブリッジファイアウォールのNIDS
橋渡しモードで機能するファイアウォール(Debian Stable 7.5)があります。インタフェースeth0(WAN)とeth1(LAN)は、ブリッジインタフェースbr0とリンクされています。
このサーバーには、NID(例 Snort )を展開できますか?もしそうなら、それはどのインターフェースを聴くべきですか?
私はこの場合を信じていますbr0のトラフィックをスニフする必要があります。ただし、そのルールが送信元アドレスを気にしない場合、潜在的な発信侵入の潜在的な侵入をブロックまたはアラートしたくない場合(そしてなぜ否かは?)害なしに WAN インターフェースで盗聴することができます。
スニッフィングは受動的、多かれ少なかれ、そしてちょうどインターフェースを越えて行くすべてのものを調べることを可能にします。