Слушать трафик всех устройств подключенных к домашнему роутеру

ну, например, снифером?

1. Поставить хаб между роутером и остальными устройствами. Хотя это плохо: медленно и антикварно.
2. Поставить коммутатор, который умеет зеркалирование, между роутером и остальными устройствами; это, как минимум, управляемый коммутатор.
3. Взять изначально роутер, который сам умеет лить трафик на отдельный порт; вот тут не знаю, какой из домашних такое может. Но это есть в iptables (действие tee), как что, если у роутера Linux внутри и iptables tee поддерживается, то можно изобразить наверное.

А дальше тот самый сниффер, упомянутый в первом ответе.

Трафик не шифрованный так понимаю? Иначе есть сомнения в целесообразности этого действия.

не шифрованный

А дальше тот самый сниффер, упомянутый в первом ответе.

А что мешает запустить сниффер сразу же на роутере - зачем здесь зеркалирование порта?

не шифрованный

IMHO, сильно оптимистичное заявление. Учитывая, что даже тот же LOR просто так не почитать с незашифрованным трафиком.

Это я так намекаю на тот факт, что на сегодняшний день большинство сайтов отказываются работать по http-протоколу, только по https. Соответственно, трафик шифруется независимо от желания Ваших пользователей.

А что мешает запустить сниффер сразу же на роутере - зачем здесь зеркалирование порта?

У роутера должен быть очень мощный процессор. Чего на простых домашних роутерах обычно нет.

У роутера должен быть очень мощный процессор.

Логично, не подумал.

Чего на простых домашних роутерах обычно нет.

С другой стороны, в домашних сетях обычно и устройства можно по пальцам пересчитать, да и трафик они создают небольшой. Так что это на самом деле вопрос, хватит ли мощности роутера или нет.

А если еще учесть, что довольно часто в домашних сетях в качестве роутера выступает старый ПК под Linux/*BSD, то в таком случае мощности хватит с большим избытком.

А если еще учесть, что довольно часто в домашних сетях в качестве роутера выступает старый ПК под Linux/*BSD

Примерно настолько же часто, насколько часто встречаются люди, использующие старый ЗИЛ-130 в качестве личного автомобиля для поездок в магазин.

Примерно настолько же часто, насколько часто встречаются люди, использующие старый ЗИЛ-130 в качестве личного автомобиля для поездок в магазин.

:). Скажем так, описанной Вами ситуации я не встречал ни разу. А вот использование старых ПК в качестве роутеров - довольно часто. Многим жалко выкидывать устаревший, но все еще работающий компьютер, вот и приспосабливают его в качестве домашнего роутера или сервера, а часто и того, и другого. Учитывая низкую стоимость электроэнергии в России, большого смысла переходить на специализированные роутеры нет, экономия будет копеечная, IMHO.

Скажем так, описанной Вами ситуации я не встречал ни разу

Ну так вот, а я, за пределами ЛОРа, не встречал ни одного человека, который бы использовал старый компьютер в качестве роутера. А с семьей, имевшей личный ЗИЛ-130 я жил в одном подъезде, правда то было давно. Он почти все время стоял под окнами на месте, но иногда (очень редко) он куда-то уезжал.

Ну так вот, а я, за пределами ЛОРа, не встречал ни одного человека, который бы использовал старый компьютер в качестве роутера.

Ну вот видите, уже потребовалась оговорка - за пределами ЛОРа ;).

но иногда (очень редко) он куда-то уезжал.

Но ведь не в магазин же ;)? Хотя бы потому, что при всем желании не получится ездить в магазин «очень редко».

Вот и получается, что варианта с ездой на ЗИЛ-130 за продуктами Вы, точно так же как и я, ни разу в жизни не видели, а вот роутеры из старых ПК встречали, пусть и только на ЛОРе ;).

Ну так вот, а я, за пределами ЛОРа, не встречал ни одного человека, который бы использовал старый компьютер в качестве роутера.

А между тем, было время (1994-2000 гг), когда это был единственный способ раздать диалапный интернет на несколько компьютеров - домашних роутеров не было тогда в продаже ;).

Помню, лично не один десяток подобных конфигураций настроил друзьям и знакомым. Как в конторах, так и дома.

Ну вот видите, уже потребовалась оговорка - за пределами ЛОРа ;).

ЛОР это клуб по интересам, значительная часть русскоязычных людей, которые увлекаются линуксами, рано или поздно попадают на ЛОР. В том числи и пользователи роутеров из ПК. Но это не значит, что все пользователи ЛОРа такие. И даже из тех, что используют такие роутеры, не все используют их дома. Вы бы еще почитав nag.ru, сделали вывод что у всех дома циски да джуниперы.

начительная часть русскоязычных людей, которые увлекаются линуксами, рано или поздно попадают на ЛОР.

Очень сомневаюсь. На ЛОРе активных участников меньше тысячи. Хотите сказать, что это соответствует числу линуксоидов в России?

IMHO, русскоязычных людей, сталкивающихся с Линуксом (для настройки простейшего аналога домашнего роутера Линукс досконально знать не надо - есть куча готовых дистрибутивов в виде загрузочных дискет/СD/флешек, которые «превращают» старый ПК в роутер сразу же после загрузки), больше на порядок, а то и на два.

Но это не значит, что все пользователи ЛОРа такие. И даже из тех, что используют такие роутеры, не все используют их дома.

Да, конечно. Если Вы хотите мне сказать, что специализированных коробок в качестве роутеров больше, чем старых ПК, так я с Вами совершенно согласен, с этим фактом спорить глупо.

Но и странно, IMHO, утверждать, что использование старого ПК в качестве роутера такая же экзотика, как поездка на ЗИЛ-130 за продуктами ;).

Кстати, возвращаясь к теме топика, Вы уверены, что покупка дополнительного оборудования, зеркалирующего трафик (потому что если процессора роутера не хватает на сниффер, то его и на зеркалирование трафика средствами iptables скорее всего не хватит), обойдется дешевле, чем сборка роутера из старого ПК, комплектующие для которого так или иначе обычно либо валяются без пользы дома/на работе, либо их можно попросить у друзей/знакомых?

А между тем, было время (1994-2000 гг), когда это был единственный способ раздать диалапный интернет на несколько компьютеров

Что-то мне подсказывает, что для тех лет раздача интернета в принципе была не типичной задачей. Начиная с того, что, мягко говоря, не у всех были деньги хотя бы на два компьютера, и заканчивая тем, что тогда в ходу были либо сети на IPX, либо вовсе нуль-модемные кабели, а в TCP/IP разбирались только специалисты.

Вы уверены, что покупка дополнительного оборудования, зеркалирующего трафик (потому что если процессора роутера не хватает на сниффер, то его и на зеркалирование трафика средствами iptables скорее всего не хватит), обойдется дешевле, чем сборка роутера из старого ПК

Я купил себе новый гигабитный switch на 8 портов, который умеет в port mirroring примерно за 1600 рублей. Брал из-за того, что он умеет в vlan.
Б/У свитч на 100 мегабит можно взять существенно дешевле. Или самый бич-вариант: найти на авито роутер d-link dir-100 и перешить его в умный свитч.

и заканчивая тем, что тогда в ходу были либо сети на IPX, либо вовсе нуль-модемные кабели, а в TCP/IP разбирались только специалисты.

У, видимо, Вы не застали те времена. tcp/ip появился еще в Windows 3 (в виде отдельных приложений, в России был популярен Trumpet WINSOCK. В Питере диалап стал доступен где-то с 1994 г. Не знаю, как в других городах.

Ну а к концу 90-х Интернет уже стал популярнее FIDO.

а в TCP/IP разбирались только специалисты.

Для установки Trumpet Winsock и подключения по диалапу не нужно было быть большим специалистом по tcp/ip ;). Можно было даже слов таких не знать ;). Конечно, подключаться было сложнее, чем в 2000-е годы, ppp еще не было, только slip. Но все это было решаемо на уровне конечного пользователя.

Что-то мне подсказывает, что для тех лет раздача интернета в принципе была не типичной задачей.

Ну конечно, Интернет не был таким массовым, как 5-10 годами позже. Тем не менее, были очень популярными решения по совместному доступу в Сеть по одному диалап-подключению. Например, мы с сотрудниками на работе сбросились и в 1997, если не ошибаюсь, году заключили договор о безлимитном диалапе с каким-то из провайдеров (не помню уже, с каким). Повесили модемы на все доступные телефонные номера в здании (4 шт.), один модем - на связь с провайдером, остальные три - в диалап-сервер, собранный тут же из лишних комплектующих. В результате получили 3 номера для дозвона в нерабочее время и активно ими пользовались, деля один канал на двоих или на троих. Позже я это решение внедрил еще в одной конторе, где была уже выделенка, номеров больше стало :).

найти на авито роутер d-link dir-100 и перешить его в умный свитч

Не, спасибо, был опыт работы с dir-150, когда от перегрева сеть отваливалась, больше не хочу :(.

А с семьей, имевшей личный ЗИЛ-130 я жил в одном подъезде

Тююю... Да у нас был, эка невидаль. Именно 130. Но в магазин на нём не ездили. :-)

В Питере диалап стал доступен где-то с 1994 г. Не знаю, как в других городах.

Там где жил я, еще в 98 году интернет для физических лиц никто не предлагал. Может кто-то и воровал интернет у предприятий на подпольных модемных пулах, как ты описываешь, но я про это не знаю. Говорят, можно было звонить по межгороду, но это тоже геморрное и не дешевое удовольствие.

Там где жил я, еще в 98 году интернет для физических лиц никто не предлагал.

Понятно :(. А где это, если не секрет?

Тююю... Да у нас был, эка невидаль. Именно 130. Но в магазин на нём не ездили. :-)

Но то вы не ездили, а кто-нибудь наверняка ездил. Более того, я слышал, что некоторые, хм, южане до сих пор на этих (и даже более древних) повозках передвигаются. Просто в силу того что в их климате они до сих пор не сгнили.

во bettercap еще круче - пашет сразу из коробки, если debian то

# apt install build-essential ruby-dev libpcap-dev
# gem install bettercap

# bettercap -XL

было время (1994-2000 гг)

что для тех лет раздача интернета в принципе

Там время шло достаточно быстро. В 1994 ещё в диковинку, а в 1998 уже цифровые пулы с X2, V90 и что там третье было появились.

Ну так вот, а я, за пределами ЛОРа, не встречал ни одного человека, который бы использовал старый компьютер в качестве роутера. А с семьей, имевшей личный ЗИЛ-130 я жил в одном подъезде, правда то было давно. Он почти все время стоял под окнами на месте

Плохое сравнение. ЗИЛ вы видели потому что он на улице, а сколько в том же подъезде роутеров на основе старого компа, вы не знаете, т.к. увидеть их не можете.

Я этот ЗИЛ от УАЗа не отличу, и то тебе скажу - меньше.

Учитывая низкую стоимость электроэнергии в России

Один ЛОРом ограничивается, второй Россией, отличное сравнение намечается.

Кстати, вспомнил, что тут, на LOR в начале 2000-х годов шли бурные дискуссии о дальнейшей судьбе Linux, где Irsi утверждал, что домашние роутеры (они только появились тогда в продаже) убьют Linux, т. к. якобы единственная его сфера применения - изготовление дешевых роутеров из старых ПК ;). Можете попробовать разыскать эти темы ;).

Там где жил я, еще в 98 году интернет для физических лиц никто не предлагал.

Странное место. Но всё конечно бывает. ДС не показатель в этом плане.

что домашние роутеры (они только появились тогда в продаже) убьют Linux, т. к. якобы единственная его сфера применения - изготовление дешевых роутеров из старых ПК

Ну на мой взгляд, роутер на дистрибутиве линукса общего назначения - дико неудобная штука. Если нужно только NAT через «внешний» интерфейс, то еще ничего, а вот когда этих внешних интерфейсов несколько, и еще есть VPN, и «внутренние» машины в разных сетях, которые нужно маршрутизировать по-разному, и чтобы не случалось утечек мимо ВПН... Использование ПК с линуксом в качестве роутера превращается в боль и страдание. Эксперты, конечно, скажут что я ниасилил, но вот лично мне совсем не интересно это «асиливать».

Прошу прощения за свои пять копеек, но я не до конца пойму в чем боль использовать линукс в качестве шлюза против железного роутера. У меня вон совсем иная ситуация, в двух ДЦ у меня «роутеры» на лине, где и NAT, и BGP и по 5 туннелей с ipsec, и OVPN сервер в догонку на каждом и все это прекрасно работает, в третьем ДЦ стоит джунипер, который тоже меня устраивает, НО когда дело доходит до дебага сети, особенно ipsec или транзитный трафик, то с джунипером становится очень сложно, начиная от того что его tcpdump без костыля не умеет показывать транзитный трафик, заканчивая BSD’нутостью всех его утилит, и вот тогда я благодарен линуксу, который помогает дебажить всё без проблем не чувствуя острой боли в одном месте.

А автору я бы порекомендовал прошить свой роутер (если это возможно) на openwrt какой нить, там есть tcpdump

но я не до конца пойму в чем боль использовать линукс в качестве шлюза против железного роутера

Тем, что я хочу типового решения одной кнопкой, а не всю эту вашу техническую хрень. Можно было бы уже сделать, за двадцать-то лет. И да, джунипер мне тоже не понравился, именно тем, что там csh и всякая типичная юникс-блевотина.

Можно было бы уже сделать, за двадцать-то лет

Так сделали ж, только денег много стоит. Вон linksys умеет все что описано в этой теме, только нужно модельку подороже купить, баксов так за 500,тут глядишь и линукс в качестве роутера не такая уж и боль))

Так сделали ж

Ну это только маленькая часть моей жопаболи. Даже если оставить роутеры, то и на десктопах фигни хватает. Взять хотя бы десктопный firewall... Какое из готовых решений умеет из коробки запрещать (разрешать) доступ отдельным программам? А IPv6 Privacy Extensions кто-нибудь поддерживает? Так, чтобы на temporary адресах нельзя было открыть входящее подключение, а на публичных - можно, без прописывания этих адресов руками? Ненавижу все это.

а вот когда этих внешних интерфейсов несколько, и еще есть VPN, и «внутренние» машины в разных сетях, которые нужно маршрутизировать по-разному, и чтобы не случалось утечек мимо ВПН...

И в чем проблема? У меня на работе даже более сложная конфигурация - 5 VLANs, три туннеля в разные сети, плюс удаленные пользователи по OpenVPN подключаются.

Все перечисленные Вами задачи элементарно решаются на любой машине с Linux.

Использование ПК с линуксом в качестве роутера превращается в боль и страдание.

Извините, не понимаю. Поясните, пожалуйста, в чем именно заключаются «боль и страдание».

Тем, что я хочу типового решения одной кнопкой

Понимаете, это палка о двух концах. Да, типовые задачи проще решать одной кнопкой. Но платой за это является потеря универсальности и гибкости инструмента. Чуть задача отклонилась от типовой, и все, Ваша чудо-кнопка превратилась в тыкву. Тогда как нормальный инструмент легко адаптируется к целому множеству задач, связанных с маршрутизацией трафика.

И да, джунипер мне тоже не понравился, именно тем, что там csh и всякая типичная юникс-блевотина.

И это неспроста, и не из-за ненависти производителя к своим клиентам ;). А именно для достижения той гибкости и универсальности, которая и отличает хороший инструмент от плохого.

Просто найди себе другую девушку/парня.

а зачем вообще слушать трафик дома?

врядли тогда кто-то с линуксом заморачивался. многие ставили софтну winroute или wingate (точно уже не помню как называлась) и через свой комп раздавали соседям инет. целый роутер с линукс/юникс ставили в основном во всяких универах или на предприятиях. ну это в 90е так было:)

я например, использую. Atom D510 прекрасно тянет раздачу интернета в 1 гбит сеть и вайфай, раздачу шары интернета по SMB и NFS. OpenWRT чудесна и понятна для всех. Роутер был бы сильно медленней чем старый ПК, да и 4 гб озу явно не имел бы.

вряд ли тогда кто-то с линуксом заморачивался.

Я пишу про то, что сам видел и в чем участвовал ;). Был даже специальный проект - образ загрузочной дискеты с Linux, настроенной под подобные цели (маршрутизация, диалап-сервер, прием факсов), забыл, как назывался, какая-то птица (*bird).

многие ставили софтну winroute или wingate (точно уже не помню как называлась)

Да, такое тоже было, но несколько позже, когда домовые сети начали появляться. Это просто роутер, без функций диалап-сервера.

целый роутер с линукс/юникс ставили в основном во всяких универах или на предприятиях. ну это в 90е так было:)

Ну да, я про это и пишу, ставили роутер/диалап-сервер, в который втыкали все доступные на предприятии телефоны. Чтобы потом в нерабочее время иметь возможность выходить в Интернет по рабочим номерам. Часто это еще и с FIDO-нодами совмещалось.

Роутер был бы сильно медленней чем старый ПК

Уверены, что заметили бы разницу на домашних задачах?

да и 4 гб озу явно не имел бы.

А зачем роутеру столько памяти? Или у Вас эта машина по совместительству еще и сервером работает, а не только маршрутизацией занимается?

Параноик же или психопат. Хочет читать сообщения сожителей.

Уверены, что заметили бы разницу на домашних задачах?

ну может и не заметил бы. Хотя запас скорости никому не помешает.

А зачем роутеру столько памяти? Или у Вас эта машина по совместительству еще и сервером работает, а не только маршрутизацией занимается?

Сколько было впихнуто, столько и оставил. В принципе, это даёт возможность использовать его как сервер. В отличии от роутера.

эта железка - случайно подвернувшаяся. Просто стоит понимать, что она даёт больше возможностей для использования, больше ОС. Если не надо она может быть просто роутером-файлопомойкой, а если надо и сервером. И как-то не заморачиваешся сколько там людей в сети, хоть 20 человек, активно смотрящих ютуб, играющих. Хотя по моему интернет соединение не потянет столько.

Тем, что я хочу типового решения одной кнопкой

С этого момента и начинаются все проблемы. Вам кажется что кнопка «сделай мне зашибись» действительно делает вам «зашибись». Но вы не в курсе действительно ли это так. Точнее вашу задачу она выполнила, но что там под «капотом» по факту вы не в курсе. Вы просто «улыбаетесь и машите» прибывая с в своем «маня мирке».
Вы вот писали про утечки dns например, интересно какое кол-во soho роутеров может вам обеспечить такое с условием множественного подключения в том числе vpn туннелей отваливающихся и переподключающихся?

врядли тогда кто-то с линуксом заморачивался

daild офигительная штука была. Нет активности, по таймауту отрубаемся, появилась активность набираем номера. Причем настраивалась крайне легко. И ещё в callback умела.