我有一個在橋接模式下工作的防火牆(Debian Stable 7.5)。介面eth0(WAN)和eth1(LAN)與橋接介面相連br0。
我可以在此伺服器上部署 NIDS(例如Snort )嗎?如果是這樣,它應該監聽哪個介面?
我相信在這種情況下它應該嗅探br0. 但是,如果它的規則不關心源地址,並且您不想阻止或警告潛在的出站入侵(為什麼不呢?),您很可能可以在 WAN 介面上進行嗅探而不會造成傷害。
嗅探或多或少是被動的,只允許您檢查通過介面的所有內容。
引用自:https://serverfault.com/questions/605792