在沒有埠鏡像交換機的情況下使用 Snort

我正在嘗試在我的實驗室的虛擬機上設置 Snort IDS。我的問題是，通常這類 IDS 連接到交換機的鏡像埠。我的實驗室沒有這樣的設備。這是我的拓撲：

[Internet]->[Linux Firewall+NAT]->[Local Subnets]

我想將我的 Snort VM（連接到我的 192.168.0.0/24 子網）連接到我的 Linux 防火牆，有沒有辦法，使用 IPTABLES 或類似的東西，我可以做到這一點？

（這可能是不可能的，因為我們想收聽 Trasport Layer 幀……）

或者是否可以在我的防火牆上收集數據並讓我的 Snort VM 遠端分析它？

我在這裡有什麼選擇？

謝謝你分享你的知識！

在 Linux 防火牆上執行 snort。您可以使用 VM 執行 MySQL 並配置 snort 以記錄到它，如下所示：

output database: log, mysql, user=snort password=snortpass dbname=snort host=mysql.host

引用自：https://serverfault.com/questions/484348