Wie Port Mirror für IDS/IPS (LXC Container) erstellen?

J

julz22x4

Member
Nov 24, 2021
22
2
8
Hallo,
Folgendes Szenario:
Virtual Private Server mit Proxmox 7.4 und einer Öffentlichen Schnittstelle, welche auf einer Linux Bridge vmbr0 liegt.
Ich möchte nun jeglichen Traffic, ob ein oder ausgehend von vmbr0 in einen LXC Container spiegeln, welcher als IDS/IPS dienen soll.
Wie realisiere ich das am besten.
Gibt es irgendwo eine Schritt für Schritt Anleitung hierfür?

Danke
 
Sicher das der Netzwerkverkehr gespiegelt werden soll? Macht für ein IDS wenig Sinn. Und schon gar keinen für ein IPS.
Beides läuft meistens auf einer Firewall.

Am besten Du stellst eine Firewall vor dem PVE. Oder wenn virtuelle Firewall im PVE dann die externe IP am WAN Por der Firewall anlegen.
 
Danke für eure Antworten

Also eine FW die das macht kann ich leider nicht so einfach laufen lassen, da ich für zb. OPNsense oder vergleichbar eine VM bräuchte und das nicht geht, da Nested Viirtualization nicht erlaubt ist bei meinem Provider (Netcup dedicated root server).
Aber darum soll es hier auch nicht gehen.

Ich habe jetzt einen Debian LXC Container mit Snort3 installiert, der vorerst mal als IDS dienen soll.
Meine Idee war eben vmbr0 (die Schnittstelle, welche auf der physischen ens3 liegt) in den LXC container zu spiegeln.
So sollte snort in der Lage sein alle Pakete zu sniffen.

Das Internet sagt dazu n haufen Dinge aber nichts richtig.
Zum beispiel verstehe ich nicht, dass viele Anleitungen sagen es ginge nur mit OpenVSwitch und nicht mit einer Linux Bridge.
(vmbr0 ist eine Linux Bridge)
Warum kann ich in der Proxmox GUI eine OVS-Bridge anlegen ... aber auf console ist openvswitch-switch garnicht installiert?
Wie bekomme ich einen Port Mirror mit openvswitch-switch hin?

Weiter gibt es noch Anleitungen mit tools wie tc (traffic controll) oder daemonlogger, was aber veraltet ist und nicht funktioniert bei mir.
Von solchen tools möchte ich aber ehrlich gesagt abstand nehmen.
 
julz22x4 said:
Also eine FW die das macht kann ich leider nicht so einfach laufen lassen, da ich für zb. OPNsense oder vergleichbar eine VM bräuchte und das nicht geht, da Nested Viirtualization nicht erlaubt ist bei meinem Provider (Netcup dedicated root server).
Click to expand...
Das ist natürlich doof, aber für deinen Fall nicht relevant.
julz22x4 said:
es ginge nur mit OpenVSwitch und nicht mit einer Linux Bridge.
Click to expand...
das wird schon stimmen, denn der ovs kann viel mehr als eine linux bridge und wenn dort nur solch eine Funktion implementiert ist, dann ist es halt so.
julz22x4 said:
Warum kann ich in der Proxmox GUI eine OVS-Bridge anlegen ... aber auf console ist openvswitch-switch garnicht installiert?
Click to expand...
Das ist wirklich eine gute Frage. Du hast Recht. Er meckert an, dass es nicht installiert ist. Weiß nicht, was sich Proxmox dabei denkt.
julz22x4 said:
Wie bekomme ich einen Port Mirror mit openvswitch-switch hin?
Click to expand...
Sollen wir jetzt für dich das Internet durchsuchen? Suchmaschine an und 2. Treffer: https://arthurchiao.art/blog/traffic-mirror-with-ovs/#14-container-network-basics
 
Last edited:
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom