freebsd-mikrotik-bro
Захотелось извращений с Bro, но смотреть весь трафик ломает, там киношки в локалке в основном. Зеркалирует микротик трафик нормально, но негде в общем случае взять трафик до ната, чтоб понимать, кто и куда пошел.
Посоветовали посмотреть на TZSP, а Bro его из коробке не алё ERSPAN то недавно начал разбирать. Попробовал прикрутить Scapy по статье, но питон бодро выжирал пару-тройку гиг и свободный своп меня начинал сильно беспокоить.
Тогда попробовал связку tzsp2pcap и tcpreplay. Передача идёт по отдельному линку, на всякий заблочил INPUT на микротике по этому интерфейсу, чтоб реплеи ненароком дальше не улетели.
Ну и Bro немного поднастроил, т.к. всё равно прилетает локальный трафик, просто в основном он сосредоточен на отдельном свиче. Так что можно было и мирорить тупо.
"tzsp2pcap -f | tcpreplay --topspeed -i xl0 -" для распаковки TZSP и впрыска обратно в интерфейс. Лень было думать, как файловый конвейер в Bro зарулить. И в самом Bro restrict_filters в local.bro выглядит как "redef restrict_filters += [ ["local-traf"] = "not (src net 192.168.0.0/16 and dst net 192.168.0.0/16)" ];"
пока не хватает памяти. гадкий мускул сожрал под заббикса
Посоветовали посмотреть на TZSP, а Bro его из коробке не алё ERSPAN то недавно начал разбирать. Попробовал прикрутить Scapy по статье, но питон бодро выжирал пару-тройку гиг и свободный своп меня начинал сильно беспокоить.
Тогда попробовал связку tzsp2pcap и tcpreplay. Передача идёт по отдельному линку, на всякий заблочил INPUT на микротике по этому интерфейсу, чтоб реплеи ненароком дальше не улетели.
Ну и Bro немного поднастроил, т.к. всё равно прилетает локальный трафик, просто в основном он сосредоточен на отдельном свиче. Так что можно было и мирорить тупо.
"tzsp2pcap -f | tcpreplay --topspeed -i xl0 -" для распаковки TZSP и впрыска обратно в интерфейс. Лень было думать, как файловый конвейер в Bro зарулить. И в самом Bro restrict_filters в local.bro выглядит как "redef restrict_filters += [ ["local-traf"] = "not (src net 192.168.0.0/16 and dst net 192.168.0.0/16)" ];"
пока не хватает памяти. гадкий мускул сожрал под заббикса