Ciao,


ho un piccolo problema che vorrei risolvere.
Sistemare una macchina a valle di un ponte-radio dati, per monitorare il traffico.. di qualsiasi tipo, con reportistica il più "user friendly" possibile.

Due reti sono collegate tra loro, causa distanze improponibili per un cavo di rete.. e suolo pubblico per far passare la fibra ottica, tramite un ponte radio, wireless.
Vorrei collegare un PC con due schede di rete quindi, a valle di un antenna...
tra il cavo di rete che va all antenna e lo stesso cavo di rete che va allo switch.

E fin qui.. niente di piu semplice.

Ora però..
Vorrei anche che una certa distribuzione.. o un certo programma mi analizzasse momento per momento il traffico... che passa su questo cavo.
che lo peschi in entrata e lo giri in uscita tra la prima e la seconda scheda di rete... e viceversa.

Questo programma.... o questa distribuzione.. dovrebbe permettermi di analizzarlo.. vedere quale IP fa tal rischiesta a chi e a che cosa..
nella maniera piu semplice... ma anche con la possibilità di approfondire il dettaglio.
Magari evidenziando solo certi dati piuttosto che altri..
e varie combinazioni...

capito?

così su due piedi mi viene in mente ethereal con dei filtri.

così su due piedi mi viene in mente ethereal con dei filtri.


ok.. ma su una macchina linux.. cosa serve e come faccio a dirottare il traffico da una interfaccia di rete e l'altra..

vorrei che, subito, appena collegato questo PC-test, non si abbiano problemi di alcuna sorta sulla rete... scollego il cavo di rete.. metto il pc nel mezzo e via.. tutto normale e liscio come prima..

Puoi utilizzare snort, ci sono molte guide per utilizzare tool che leggono i dati immagazzinati in un db e li rappresentano in comode interfacce amministrate via web.

Purtroppo devo scappare, appena posso ripondo in maniera più approfondita.

La mia esperienza si basa principalmente sull'analisi del traffico.

Per vedere la natura del traffico puoi utilizzare ntop, implementa un server web e una reportistica da consultare con un browser.

Se ti interessa vedere se ci sono possibili attacchi, virus, trojan ecc. puoi utilizzare snort+ un db (mysql) + apache + un'applicazione che legge il db e riporta le informazioni. Molto buono, non troppo potente ma neanche complicato è base (deriva da acid) e solitamente si utilizza su macchine linux+mysql+apache+snort.

Ricorda che se devi catturare del traffico è preferibile utilizzare macchine linux invece di quelle *BSD perché sono in grado di acquisire un maggior numero di pacchetti e anche perché esiste una patch e amplifica notevolmente le prestazioni del kernel (cerca sul sito di ntop, il modulo si chiama pf_ring).

Spero di non essere andato OT.

Prova MRTG (http://oss.oetiker.ch/mrtg/), consente di acquisire informazioni sul traffico di rete tramite protocollo snmp, e di creare reportistica sui dati raccolti

;)

ora ho letto.

praticamente lo "collego" ai vari router che ho in rete...

hmm. abbastanza buono così...

vorrei provare anche ntop.. e svincolarmi dal router.

ok.

ricapitoliamo.

ho la macchina... due schede di rete..

installo una gentoo... o una debian.. moh.. vedo.

poi.

cosa mi serve per fare il forwarding di tutto il traffico tra una scheda di rete e e l'altra?

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $WAN -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $WAN -j MASQUERADE



quindi devo avere installato iptables sulla distro linux.... basta?

mi dici anche quale sw di base installare... parto da un sistema base solo console.. e kernel per dire.

che distribuzione intendi usare?

che distribuzione intendi usare?

non lo so.. se ho fretta Debian...
altrimenti sto con Gentoo...


prendo in mano il lavoro questa sera.. ora sono di corsa corsissima

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $WAN -j MASQUERADE

basta abilitare il routing tra le interfacce e usare 2 subnet

altrimenti puoi creare un bridge tra le 2 if e usare la stessa subnet

se usi un MASQUERADE tutti i pc a valle rispetto la macchina che lo effettua non saranno + visibili tramite il "ponte radio" quindi lo escluderei