最近因為要SDN的POC
廠商要求測試的主机要有二張網卡
一張要開啟promiscuous mode 用來聽所有對外的封包
本來是想放在vm上
但之前要把snort及其他網管軟体移進vm時也一直在找相關的資料
那時就沒找到要如何解決
因為在guest裡就是看不到所有的封包
上週也到proxmox的官方forum上去問
過了好几天也沒人回文
昨天終於找到解決方法了
原來這麼解單
把網卡的bridge設為HUB mode就好了
指令如下

brctl setageing vmbr1 0

順便來去官網自我回文

20240301 修正

以上所述下指令的方式在proxmox 8版沒作用了

要修改以下檔案

/etc/network/interfaces

把listen的介面加上

bridge_ageing 0

範例如下

auto vmbr1

iface vmbr1 inet manual

        bridge-ports ens1f1

        bridge-stp off

        bridge-fd 0

        bridge_ageing 0

重開才能生效

今天user要從gmali經由pop3收gmail的時候一直出現認証錯誤的問題
找了一些資料才知道有二個地方要設定

在被收信的帳戶中設定

第一是在帳戶的安全性中要把
[允許安全性較低的應用程式] 設定打開



再來到下方的網址把 unlockcaptcha 關閉

https://accounts.google.com/DisplayUnlockCaptcha

最近開始直接向各國回報攻擊我們的ip
今天終於有一個國家回信 是日本
好感動
請我再提供log的時區及純文字檔

snort base 無法直接匯出

記錄一下sql語法

select event.cid,signature,sig_name,inet_ntoa(iphdr.ip_src),tcphdr.tcp_sport,inet_ntoa(iphdr.ip_dst),tcphdr.tcp_dport,timestamp from iphdr,event,signature,tcphdr where event.signature=signature.sig_id and event.cid=iphdr.cid and event.cid=tcphdr.cid and event.timestamp like '2015-12-04%' and inet_ntoa(iphdr.ip_src)="133.208.26.134" into outfile '/tmp/133.208.26.134.log';

事件的唯一值是 event裡的cid 其他table都要參考這個值

iphdr 放的是ip資料
tcphdr 放的是tcp的相關port 資料
udphdr 放的是udp的相關port 資料

安裝ubuntu時第一個建立的user一定會有sudo的權限
那如何把第二個user也加入sudo的權限呢
網路上有很多方法
但都很麻煩
最簡單的方式就是

sudo usermod -G sudo newuser

一行指令解決