On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
Sur la machine dom0, voici le début la chaine forward (par défaut) :
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.1
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif2.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
....
....
L'interface qui m'intéresse est eth0 (DMZ) :
eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
Pour être plus clair, eth0 est bridgée et permet aux différentes
machines virtuelles d'avoir leur propre IP sur le réseau.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun
traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
qui écoute eth0.
Mais le problème est que le trafic ne semble pas être "capté" par eth0.
Quelles solutions s'offrent à nous?
J'espère avoir clair dans mes explications..
Merci pour vos lumières.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Vincent Danjean
Cornichon wrote:
Pour être plus clair, eth0 est bridgée et permet aux différentes machines virtuelles d'avoir leur propre IP sur le réseau.
Sauf que ce n'est pas clair : si je me souviens bien, le script par défaut de xen renomme l'interface physique et le bridge pour que le bridge porte le même nom que portait l'interface physique avant le démarrage de Xen. Bref, eth0 ne désigne probablement pas la même chose tout au long du temps et c'est probablement pour ça que RX/TX est faible. Trouve le bridge et l'interface physique et regarde ce qui passe sur chacun d'eux exactement.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
-- Vincent Danjean Adresse: Laboratoire d'Informatique de Grenoble Téléphone: +33 4 76 61 20 11 ENSIMAG - antenne de Montbonnot Fax: +33 4 76 61 20 99 ZIRST 51, avenue Jean Kuntzmann Email: 38330 Montbonnot Saint Martin
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Cornichon wrote:
Pour être plus clair, eth0 est bridgée et permet aux différentes
machines virtuelles d'avoir leur propre IP sur le réseau.
Sauf que ce n'est pas clair : si je me souviens bien, le script par
défaut de xen renomme l'interface physique et le bridge pour que le
bridge porte le même nom que portait l'interface physique avant le
démarrage de Xen.
Bref, eth0 ne désigne probablement pas la même chose tout au long
du temps et c'est probablement pour ça que RX/TX est faible.
Trouve le bridge et l'interface physique et regarde ce qui passe
sur chacun d'eux exactement.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun
traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
--
Vincent Danjean Adresse: Laboratoire d'Informatique de Grenoble
Téléphone: +33 4 76 61 20 11 ENSIMAG - antenne de Montbonnot
Fax: +33 4 76 61 20 99 ZIRST 51, avenue Jean Kuntzmann
Email: Vincent.Danjean@imag.fr 38330 Montbonnot Saint Martin
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Pour être plus clair, eth0 est bridgée et permet aux différentes machines virtuelles d'avoir leur propre IP sur le réseau.
Sauf que ce n'est pas clair : si je me souviens bien, le script par défaut de xen renomme l'interface physique et le bridge pour que le bridge porte le même nom que portait l'interface physique avant le démarrage de Xen. Bref, eth0 ne désigne probablement pas la même chose tout au long du temps et c'est probablement pour ça que RX/TX est faible. Trouve le bridge et l'interface physique et regarde ce qui passe sur chacun d'eux exactement.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
-- Vincent Danjean Adresse: Laboratoire d'Informatique de Grenoble Téléphone: +33 4 76 61 20 11 ENSIMAG - antenne de Montbonnot Fax: +33 4 76 61 20 99 ZIRST 51, avenue Jean Kuntzmann Email: 38330 Montbonnot Saint Martin
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean Baptiste Favre
Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen.
D'autre part, les "bonnes pratique" recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un DomU serait peut-être plus adapté.
Cordialement, JB
Cornichon a écrit :
Salut à tous,
On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny). Sur la machine dom0, voici le début la chaine forward (par défaut) :
Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in vif1.0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in vif1.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in vif2.0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV .... ....
L'interface qui m'intéresse est eth0 (DMZ) : eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1269 errors:0 dropped:0 overruns:0 frame:0 TX packets:7 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
Pour être plus clair, eth0 est bridgée et permet aux différentes machines virtuelles d'avoir leur propre IP sur le réseau. Bien que toutes les données des domU passent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0, qui écoute eth0. Mais le problème est que le trafic ne semble pas être "capté" par eth0. Quelles solutions s'offrent à nous?
J'espère avoir clair dans mes explications.. Merci pour vos lumières.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Bonjour,
Il me semble que l'interface physique est renommée en peth0 par Xen.
D'autre part, les "bonnes pratique" recommandent de n'installer que le
strict minimum sur le Dom0, puisqu'il est privilégié.
Installer Snort dans un DomU serait peut-être plus adapté.
Cordialement,
JB
Cornichon a écrit :
Salut à tous,
On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
Sur la machine dom0, voici le début la chaine forward (par défaut) :
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.1
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif2.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
....
....
L'interface qui m'intéresse est eth0 (DMZ) :
eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
Pour être plus clair, eth0 est bridgée et permet aux différentes
machines virtuelles d'avoir leur propre IP sur le réseau.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun
traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
qui écoute eth0.
Mais le problème est que le trafic ne semble pas être "capté" par eth0.
Quelles solutions s'offrent à nous?
J'espère avoir clair dans mes explications..
Merci pour vos lumières.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen.
D'autre part, les "bonnes pratique" recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un DomU serait peut-être plus adapté.
Cordialement, JB
Cornichon a écrit :
Salut à tous,
On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny). Sur la machine dom0, voici le début la chaine forward (par défaut) :
Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in vif1.0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in vif1.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in vif2.0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV .... ....
L'interface qui m'intéresse est eth0 (DMZ) : eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1269 errors:0 dropped:0 overruns:0 frame:0 TX packets:7 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
Pour être plus clair, eth0 est bridgée et permet aux différentes machines virtuelles d'avoir leur propre IP sur le réseau. Bien que toutes les données des domU passent par eth0, on n'y voit aucun traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0, qui écoute eth0. Mais le problème est que le trafic ne semble pas être "capté" par eth0. Quelles solutions s'offrent à nous?
J'espère avoir clair dans mes explications.. Merci pour vos lumières.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Cornichon
Jean Baptiste Favre a écrit :
Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen.
D'autre part, les "bonnes pratique" recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un DomU serait peut-être plus adapté.
Cordialement, JB
Vincent et toi venez de me donner la solution .. merci. Effectivement l'interface du bridge est peth0, suivi par une ensemble de vif1.x vif2.x, correspondant aux différentes interfaces des domU. Et je retrouve bien mon traffic sur peth0.
Oui, les bonnes pratiques recommandent d'avoir un dom0 exclusivement dédié aux domU. Snort sur un domU ok, mais comment mirrorer (nouveau verbe) peth0 vers ce domU?
Merci.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Jean Baptiste Favre a écrit :
Bonjour,
Il me semble que l'interface physique est renommée en peth0 par Xen.
D'autre part, les "bonnes pratique" recommandent de n'installer que le
strict minimum sur le Dom0, puisqu'il est privilégié.
Installer Snort dans un DomU serait peut-être plus adapté.
Cordialement,
JB
Vincent et toi venez de me donner la solution .. merci.
Effectivement l'interface du bridge est peth0, suivi par une ensemble de
vif1.x vif2.x, correspondant aux différentes interfaces des domU.
Et je retrouve bien mon traffic sur peth0.
Oui, les bonnes pratiques recommandent d'avoir un dom0 exclusivement
dédié aux domU. Snort sur un domU ok, mais comment mirrorer (nouveau
verbe) peth0 vers ce domU?
Merci.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Bonjour, Il me semble que l'interface physique est renommée en peth0 par Xen.
D'autre part, les "bonnes pratique" recommandent de n'installer que le strict minimum sur le Dom0, puisqu'il est privilégié. Installer Snort dans un DomU serait peut-être plus adapté.
Cordialement, JB
Vincent et toi venez de me donner la solution .. merci. Effectivement l'interface du bridge est peth0, suivi par une ensemble de vif1.x vif2.x, correspondant aux différentes interfaces des domU. Et je retrouve bien mon traffic sur peth0.
Oui, les bonnes pratiques recommandent d'avoir un dom0 exclusivement dédié aux domU. Snort sur un domU ok, mais comment mirrorer (nouveau verbe) peth0 vers ce domU?
Merci.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS