note-articles/docs/home-network-ids-proxmox/index.md

---
sidebar_position: 2
title: 自宅ネットワークにIDSを導入した話 — Proxmox LXC で Suricata + ntopng
description: Proxmox VE の LXC コンテナで Suricata と ntopng を使った自宅ネットワーク監視環境を構築した記録。TEEミラーリング、カスタムルール、Zabbix連携まで。
hide_table_of_contents: false
displayed_sidebar: null
image: ./banner.png
---

# 自宅ネットワークにIDSを導入した話

## きっかけ

自宅サーバーを運用してると、外向きのサービスも増えてくるし、IoTデバイスも増える。リバースプロキシの裏で何が起きてるか、正直あんまり把握できてなかった。

最近 OpenClaw（AIアシスタント基盤）を自宅で動かし始めて、外部APIとの通信も増えてきた。「そろそろネットワークの中身ちゃんと見ないとまずいかも」と思って、とりあえずやってみることにした。

## 構成

うちの環境は Proxmox VE でクラスタを組んでて、サービスは基本 LXC コンテナで動かしてる。専用のミラーリングスイッチとかは持ってないから、Proxmox の機能でなんとかする方針。

### 最終的な構成図

```
インターネット
  │
  ├─ Nginx Proxy Manager (LXC, 192.168.1.189)
  │    │
  │    ├─ 各種サービス (Gitea, Docusaurus, etc.)
  │    │
  │    └─ [TEE mirror] ──→ Suricata + ntopng (LXC, 192.168.1.187)
  │                              │
  │                              ├─ eth0: サービスネットワーク (192.168.1.0/24)
  │                              └─ eth10: データプレーン (192.168.10.0/24)
  │
  ├─ Proxmox VE ノード x4
  │    └─ [TEE mirror] ──→ (同上)
  │
  └─ Zabbix (LXC, 192.168.1.172)
       └─ Suricata アラート監視
```

### 使ったもの

| コンポーネント | 役割 |
|---|---|
| **Suricata 6.0.4** | IDS（侵入検知） |
| **ntopng Community** | トラフィック可視化・フロー分析 |
| **Zabbix 7.4** | アラート集約・通知 |
| **Proxmox TEE** | パケットミラーリング |

## LXC コンテナの作成

Proxmox の Web UI から Ubuntu 22.04 の LXC を作成。ポイントはいくつかある。

### スペック

- CPU: 2コア
- メモリ: 4GB（Suricata のルール読み込みで結構食う）
- ディスク: 20GB
- NIC: 2つ（サービス用 + データプレーン用）

### 特権コンテナにすること（重要）

最初は非特権コンテナで作ったんだけど、**Suricata の af-packet（パケットキャプチャ）が動かない**。ルールの読み込みまでは成功するのに、キャプチャスレッドが起動しない。

ログにはこう出る：

```
48714 rules successfully loaded, 0 rules failed
48719 signatures processed.
```

でも `All AFP capture threads are running.` が出ない。eve.json も更新されない。

原因は af-packet のプロミスキャスモードに必要な権限が非特権コンテナだと制限されるから。

```bash
# /etc/pve/lxc/<CTID>.conf
# unprivileged: 1  ← これを削除
```

特権コンテナにしたら一発で動いた。

### NIC 設定

```
net0: name=eth0,bridge=vmbr0,ip=dhcp,type=veth
net1: name=eth10,bridge=vmbr1,ip=192.168.10.187/24,type=veth
```

- `eth0`: 管理・サービス用（192.168.1.0/24）
- `eth10`: TEE ミラートラフィック受信用（192.168.10.0/24）

**ゲートウェイの設定を忘れずに。** DHCPじゃない場合、`gw=192.168.1.1` を net0 に追加しないと外部に出られない（パッケージインストールで詰む）。

## Suricata のインストールと設定

```bash
sudo apt update
sudo apt install -y suricata suricata-update
sudo suricata-update
```

### suricata.yaml の設定ポイント

#### HOME_NET

```yaml
HOME_NET: "[192.168.1.0/24]"
```

#### HTTP_PORTS を拡張する

デフォルトだと `HTTP_PORTS: "80"` だけ。自宅サーバーは 8006（Proxmox）、3000（ntopng/Grafana）、8080（Zabbix）とか色んなポートで HTTP 使ってるから、これを広げないと HTTP の中身をパースしてくれない。

```yaml
HTTP_PORTS: "[80,443,3000,3128,8006,8007,8080,8443,9876]"
```

これに気づくまでかなりハマった。カスタムルールが全然発火しなくて、ログを見たら HTTP イベント自体が記録されてなかった。

#### ルールファイル

```yaml
rule-files:
  - suricata.rules
  - local.rules
```

`suricata-update` で取得したルールは `/var/lib/suricata/rules/suricata.rules` に保存される。`/etc/suricata/rules/` にシンボリックリンクを作っておくと楽。

```bash
sudo ln -s /var/lib/suricata/rules/suricata.rules /etc/suricata/rules/suricata.rules
```

## カスタムルールの作成

ET Open のルールセットだけだと、よくある Web 探索行為（`.env` を探すボットとか）は検知できない。自分で書く。

```bash title="/etc/suricata/rules/local.rules"
# === 探索行為の検知 ===
alert http any any -> $HOME_NET any (msg:"Scan: wp-admin access"; content:"/wp-admin"; http_uri; sid:2000001; rev:1;)
alert http any any -> $HOME_NET any (msg:"Scan: .env access"; content:"/.env"; http_uri; sid:2000002; rev:1;)
alert http any any -> $HOME_NET any (msg:"Scan: phpmyadmin access"; content:"/phpmyadmin"; nocase; http_uri; sid:2000003; rev:1;)
alert http any any -> $HOME_NET any (msg:"Scan: xmlrpc access"; content:"/xmlrpc.php"; http_uri; sid:2000004; rev:1;)
alert http any any -> $HOME_NET any (msg:"Scan: .git directory access"; content:"/.git/"; http_uri; sid:2000005; rev:1;)
alert http any any -> $HOME_NET any (msg:"Scan: admin panel probe"; content:"/admin"; http_uri; sid:2000009; rev:1;)

# === SQLインジェクション試行 ===
alert http any any -> $HOME_NET any (msg:"SQLi: UNION SELECT attempt"; content:"UNION"; nocase; http_uri; content:"SELECT"; nocase; http_uri; sid:2000011; rev:1;)

# === ディレクトリトラバーサル ===
alert http any any -> $HOME_NET any (msg:"Traversal: ../ attempt"; content:"../"; http_uri; sid:2000013; rev:1;)

# === ブルートフォース ===
alert http any any -> $HOME_NET any (msg:"Brute: login page flood"; content:"/login"; http_uri; threshold:type both, track by_src, count 20, seconds 60; sid:2000014; rev:1;)
```

テストは curl で簡単にできる：

```bash
curl -s http://192.168.1.187:3000/.env
# → eve.json に "Scan: .env access" のアラートが記録される
```

## TEE によるパケットミラーリング

専用のミラーリングスイッチがなくても、Proxmox ホスト上で iptables の TEE ターゲットを使えばパケットをコピーできる。

```bash title="各 Proxmox ホスト上で実行"
# サービスネットワーク経由のトラフィックをデータプレーンにミラー
iptables -t mangle -A PREROUTING -i vmbr0 -j TEE --gateway 192.168.10.187
iptables -t mangle -A POSTROUTING -o vmbr0 -j TEE --gateway 192.168.10.187
```

データプレーン（vmbr1, 192.168.10.0/24）を別に用意してるのは、ミラートラフィックでサービス帯域を圧迫しないため。

## ntopng でトラフィック可視化

ntopng は Web UI でリアルタイムのトラフィック状況が見れる。Community 版でも十分使える。

```bash
sudo apt install -y ntopng
```

設定ファイル：

```ini title="/etc/ntopng/ntopng.conf"
-i=eth0
-w=3000
-m=192.168.1.0/24
```

### API でホストラベルを設定

ntopng の REST API でホストにわかりやすい名前をつけられる：

```bash
curl -X POST -H "Authorization: Token <API_TOKEN>" \
  "http://localhost:3000/lua/rest/v2/set/host/alias.lua" \
  -d "host=192.168.1.7&custom_name=db975i"
```

### アラートフローの確認

```bash
curl -H "Authorization: Token <API_TOKEN>" \
  "http://localhost:3000/lua/rest/v2/get/flow/active.lua?ifid=2&alert_type=1"
```

:::warning ntopng の Suricata 連携は Enterprise 版のみ
Community 版では ntopng 上で Suricata のアラートを直接表示できない。Zabbix 等の別ツールで集約する必要がある。
:::

## Zabbix 連携

Suricata のアラートを Zabbix で監視・通知する。

### Zabbix Agent2 のインストール

```bash
wget -O /tmp/zabbix-release.deb \
  https://repo.zabbix.com/zabbix/7.4/release/ubuntu/pool/main/z/zabbix-release/zabbix-release_latest_7.4+ubuntu22.04_all.deb
sudo dpkg -i /tmp/zabbix-release.deb
sudo apt update && sudo apt install -y zabbix-agent2
```

### eve.json パーススクリプト

Zabbix の `log[]` アイテムだと JSON のフィルタが難しいので、UserParameter + スクリプトで対応。

```bash title="/etc/zabbix/scripts/suricata_alerts.sh"
#!/bin/bash
MODE=${1:-count}
SECONDS_AGO=${2:-60}
CUTOFF=$(date -u -d "-${SECONDS_AGO} seconds" +%Y-%m-%dT%H:%M:%S)

case $MODE in
  count)
    grep '"event_type":"alert"' /var/log/suricata/eve.json | \
      awk -F'"timestamp":"' '{print $2}' | cut -d'"' -f1 | \
      awk -v c="$CUTOFF" '$0 >= c' | wc -l ;;
  custom_count)
    grep 'signature_id.*200000' /var/log/suricata/eve.json | \
      awk -F'"timestamp":"' '{print $2}' | cut -d'"' -f1 | \
      awk -v c="$CUTOFF" '$0 >= c' | wc -l ;;
  last)
    grep '"event_type":"alert"' /var/log/suricata/eve.json | tail -1 ;;
esac
```

### 監視アイテムとトリガー

| アイテム | 種別 | 間隔 |
|---------|------|------|
| 全アラート数 (60s) | 数値 | 30秒 |
| カスタムルール数 (60s) | 数値 | 30秒 |
| 個別アラートログ | ログ | 10秒 |

トリガーはカスタムルール検知で「警告」、大量アラート（100件/分超）で「重大」に設定。

## やってみてわかったこと

### ハマりポイント

1. **非特権 LXC だと af-packet が動かない** — 特権コンテナ必須
2. **HTTP_PORTS がデフォルト 80 のみ** — 自宅サーバーのポートを追加しないと HTTP パースされない
3. **LXC のゲートウェイ設定漏れ** — パッケージインストール時に外に出られなくて詰む
4. **suricata.rules のパス** — `suricata-update` は `/var/lib/` に保存するが、設定は `/etc/suricata/rules/` を見る

### 実際に検知されたもの

初回スキャンで検知されたのは：
- Corosync (UDP:5405) のクラスタ通信
- Proxmox UI (8006/8007) のアクセス
- MDNS、SMB、SSH のプロトコル異常
- Tuya IoT デバイスの通信

**セキュリティ上の脅威はゼロだった。** 自宅ネットワークなので当たり前といえば当たり前だけど、「異常がない」ことを確認できるのが大事。

### Postfix がデフォルトで開いてる問題

Proxmox VE ノードの脆弱性スキャンをしたら、全ノードで SMTP (25/tcp) が外部から到達可能だった。Proxmox はデフォルトで Postfix を入れてる（通知メール用）けど、ローカルのみにリッスンを制限すべき：

```bash
sudo postconf -e 'inet_interfaces = loopback-only'
sudo systemctl restart postfix
```

## まとめ

専用機材なしでも、Proxmox の LXC + TEE ミラーリングで実用的な IDS 環境が作れた。月額コストもゼロ。

「何が起きてるかわからない」状態から「異常があれば検知して通知される」状態になっただけで、だいぶ安心感が違う。自宅サーバー勢にはおすすめ。

## 参考リンク

- [Suricata公式ドキュメント](https://docs.suricata.io/)
- [ntopng公式](https://www.ntop.org/products/traffic-analysis/ntopng/)
- [Proxmox VE ドキュメント](https://pve.proxmox.com/pve-docs/)

---

*この記事は2026年2月時点の情報です。*