Xen + Snort

[Cornichon <cornichonva@gmail.com>]

Salut à tous,

On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
Sur la machine dom0, voici le début la chaine forward (par défaut) :

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV 
match --physdev-in vif1.0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV 
match --physdev-in vif1.1
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV 
match --physdev-in vif2.0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           PHYSDEV
....
....


L'interface qui m'intéresse est eth0 (DMZ) :
eth0      Link encap:Ethernet  HWaddr 00:05:5d:2c:13:ff
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:46584 (45.4 KiB)  TX bytes:569 (569.0 B)


Pour être plus clair, eth0 est bridgée et permet aux différentes 
machines virtuelles d'avoir leur propre IP sur le réseau.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun 
traffic : RX bytes:46584 (45.4 KiB)  TX bytes:569 (569.0 B)


J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0, 
qui écoute eth0.
Mais le problème est que le trafic ne semble pas être "capté" par eth0.
Quelles solutions s'offrent à nous?


J'espère avoir clair dans mes explications..
Merci pour vos lumières.