brctl - Port Mirroring

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
ChiefOfZetten
Beiträge: 6
Registriert: 25.10.2015 18:06:22

brctl - Port Mirroring

Beitrag von ChiefOfZetten » 25.10.2015 18:26:17

Hi,
hab' auf meinem Notebook mit brctl eine Bridge ("br1") eingerichtet, die momentan nur die Schnittstelle "eth0" beinhaltet (wenn das mit der Portspiegelung problemfrei läuft, füg' ich wahrscheinlich die WLAN-Schnittstelle zur Bridge hinzu, so dass das, was auf beiden Adaptern rein geht, ohne Änderung an den Paketen an die VM weitergereicht wird). Der Sinn des ganzen ist, dass ich alle Pakete, die an meiner physischen Schnittstelle des Notebooks rein gehen, an die VirtualBox-VM durchschleifen will, die als Netzwerkadapter "br1" zugewiesen bekommen hat (br1 ist als "Netzwerkbrücke" an die VM angebunden), da ich innerhalb der VM Wireshark nutzen will (will aus Sicherheitsgründen das nicht direkt auf dem Host ausführen), um meinen Netzwerktraffic zu analysieren. Wie kann ich jetzt eine Portspiegelung zwischen eth0 und der VM einrichten?

Die Bridge scheint zu funktionieren, denn wenn ich die IP der VM anpinge, bekomme ich eine Antwort. Allerdings gelangen die Pakete nicht in die VM, wenn die Ziel-IP-Adresse eine andere als die der VM zugewiesene ist, auch wenn ich im Gast-System die Netzwerkkarte in den Promiscous-Mode schalte.

PS: Falls jemand 'ne andere Idee hat, die ohne zusätzliche Bridge funktioniert und wenn's geht, sich mit den Bordmitteln einrichten lässt (will aus Sicherheitsgründen nicht unnötig zusätzliche Tools dafür installieren), dann her damit. ;-)

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: brctl - Port Mirroring

Beitrag von dufty2 » 28.10.2015 17:58:07

Die bridge arbeitet nicht wie ein hub, sondern wie ein switch und merkt sich deshalb,
welche MAC hinter welchem (virtuellen) Port sich "versteckt".

Kannst mal

Code: Alles auswählen

# brctl setageingtime br1 0
probieren, ob er dann die "MAC-Port-Zuordnung" gleich wieder "vergisst".

Vielleicht kann man auch mittels ebtables die MAC "umschreiben".

Open vswitch (als Alternative zur linux bridge) hat "port mirroring", damit müsste es eigentlich auch gehen.

Eigentlich ...

ChiefOfZetten
Beiträge: 6
Registriert: 25.10.2015 18:06:22

Re: brctl - Port Mirroring

Beitrag von ChiefOfZetten » 29.10.2015 11:40:41

Okay,
das mit der Aging-Time probier' ich dann am Wochenende mal aus. Openvswitch klingt auch ganz gut, das teste ich als sekundäre Option.

Mir ist aber selbst auch 'ne Idee gekommen, nämlich den Learning-Modus schon direkt nach Start (also bevor die VM gestartet wird) auszuschalten und außerdem den Host-Only-Adapter von VirtualBox in die Bridge zu integrieren und die VM an besagten Host-Only-Adapter (statt als Netzwerkbrücke an br1) zu hängen. Das mit dem Abschalten, des Lern-Modus, mach' ich jetzt schon, ich hab' aber die Vermutung, dass das Problem darin liegt, dass br1 als "Netzwerkbrücke" in VirtualBox eingestellt ist, d.h. die Linux-Bridge funktioniert wahrscheinlich, aber die interne VirtualBox-Bridge könnte auch für die Probleme mit verantwortlich sein.
Die Bridge von VirtualBox zu fluten hab' ich zwar noch nicht probiert, falls es klappen würde wäre es aber so, als würde ich mit 'nem Vorschlaghammer 'ne Fliege erschlagen

Die MAC-Adresse umschreiben will ich nicht, weil ich dann bei mit Wireshark mitgeschnittenen ARP-Requests die originale MAC-Adresse nicht mehr rausfinden kann, weil dann ja als Absender in jedem aufgezeichneten Paket die MAC-Adresse meiner physischen Netzwerkschnittstelle steht (was bei der Traffic-Analyse irgendwie witzlos ist).

ChiefOfZetten
Beiträge: 6
Registriert: 25.10.2015 18:06:22

Re: brctl - Port Mirroring

Beitrag von ChiefOfZetten » 06.11.2015 17:36:53

Hab jetzt OpenVSwitch installiert, die Bridge (die eth0 und vboxnet0 umfasst - vboxnet0 ist als Host-Only-Adapter der VM zugewiesen) und 'ne Portspiegelung (von eth0 ausgehend und eingehend nach vboxnet0) eingerichtet. Jetzt hab' ich mit dem Notebook aber gar keine Netzwerkverbindung mehr.
IP-Link zeigt mir, dass eth0 UP ist, br1 (die eingerichtete Bridge) DOWN, ovs-system ist ebenfalls DOWN. vboxnet0 ist UP, wenn es angezeigt wird, es wird aber nur dann angezeigt, wenn ich die VM nach dem Systemstart mindestens ein Mal hochgefahren hab'.
Wenn ich meinen Router anpinge, bekomme ich die Meldung "Destination Host unreachable", obwohl die Aktivitäts-LED am Router mir zeigt, dass da zumindest Pakete an den Router gehen (und wahrscheinlich auch welche zurück). Von meinem Zweit-PC aus (auf dem ebenfalls Debian läuft) kann ich den Router problemlos anpingen.
Wenn ich vom Zweit-PC aus versuche, das Notebook unter der per DHCP zugewiesenen IP-Adresse anzupingen, bekomme ich ebenfalls die Meldung "Destination Host unreachable" und hab' keine Ahnung was da los ist.
In der Routing-Tabelle des Notebooks existiert auch 'ne Route in mein lokales LAN, daran kann's also auch nicht liegen.

Wenn ich traceroute 192.168.1.1 (mein Router) ausführ, bekomme ich folgende Meldung:
1 Notebook (192.168.1.102) 2999.652 ms !H 2999.621 ms !H 2999.615 ms !H

Hat jemand vielleicht 'ne Idee, wo das Problem liegen könnte?

Antworten