<div dir="ltr"><div>If nictype is bridged (see my "profile_br1"):<br><br>name: profile_br1<br>config: {}<br>description: Bridge br1<br>devices:<br>  eth1:<br>    name: eth1<br>    nictype: bridged<br>    parent: br1<br>    type: nic<br><br></div><div>NIC eth1 in the container  doesn't work in promiscuous mode.<br><br></div><div>So my solution is  pass a physical interface (in promiscuous mode) to the container (see my profile "mirror"):<br><br></div><div>name: mirror
<br>config: {}
<br>description: Mirror Port
<br>devices:
<br>  eth1-mirror:
<br>    nictype: physical
<br>    parent: eth1-mirror
<br>    type: nic
<br><br></div><div>and now container sees all traffic from mirror port.<br><br></div><div>if someone has a better solution I'm interested in knowing , thanks.<br></div><div><br></div><div>Now i can try to install SecurityOnion on a LXD conainer :)<br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-05-26 12:23 GMT+02:00 Felipe <span dir="ltr"><<a href="mailto:fmbrieva@gmail.com" target="_blank">fmbrieva@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><div dir="ltr"><div><span><div>I want to use a container with a NIC in promiscuous mode for capturing all the traffic from a mirror port.<br><br></div></span>I have:<br><br>- LXD server with two bridge "br0" and "br1". ("br1" configured as PROMISC with interface eth1 as PROMISC)<br></div><div>- Container with two interfaces "eth0" and "eth1". ("eth1" configured as PROMISC)</div><div><br></div><div>I can see all traffic from mirror port in LXD Server with "br1" and "eth1" but i cann´t see traffic in the container. Why?<br><br></div><div>When container starts a new interface is created in LXD Server for bridge "br1"  (new interface: veth4Q0L0U)<br><br></div><div>    bridge name     bridge id               STP enabled     interfaces<br>    br1                 **************                   no              eth1<br>                                                                               veth4Q0L0U<br><br></div>Also i have setup veth4Q0L0U as PROMISC but i cann´t see traffic from mirror port in the container.</div>
</div></div></blockquote></div><br></div>