Нужна помощь ITшников⁠⁠

Или же можно контролировать весь трафик используя Snort даже не используя систему со Snort как точку доступа в интернет?

Контролировать можно только то, что проходит через Snort. Поэтому коллега ZmeyGopbIH совершенно прав - вам надо исключить из цепочки роутер, кабель от провайдера воткнуть в машину со Snort'ом, из второй сетевухи кабель завести в роутер (не в порт Internet, а в любой из четырёх оставшихся, то бишь роутер будет как простой свитч) - и настроить его как просто точку доступа.

Соответственно - успех мероприятия зависит от того, что именно и как умеет роутер. Хотя, даже простейшие из них вроде бы умеют в точку доступа. Ну и, понятно дело, нужна ещё одна сетевая в машину со Snort'ом. И - настроить согласно стандартов.

Теоретически - можно. Практически же, исходя из ваших вопросов - не получится.

С виртуалками вообще довольно много заморочек,  а в описанной вами ситуации - тем более. 

маршрутизатору через crossover

1) зачем кросс?

2) Тебе нужно сделать чтобы шлюзом была система Security Onion, а не роутер. Соответственно нужно сделать так, чтобы трафик шел сначала на эту систему, а потом уже в локальную сеть. По организации раздачи интернета через линукс в инете есть много информации, если система стоит на отдельном компе нужно чтобы у него было минимум 2 сетевые карты(одна внешняя, другая для локалки)