Бегущий фырканье позади iptables
Я запускаю сервер Centos 6.5 с очень строгими iptables набор правил разрешает входящий трафик только на небольшом количестве портов tcp (всего 8) и блокирует весь входящий незапрошенный трафик UDP.
Я недавно собрал snort 2.9.7.0 из исходного кода и запускаю его в policy_mode:inline-test
Я замечаю, что это оповещение о пакетах, которые заблокированы моим iptables Конфигурация, из которой я предполагаю, что она вставлена в цепочку обработки перед iptables,
Я прочитал руководство и выполнил несколько поисков в Интернете, но не могу найти упоминания об этом поведении или о том, как его настроить, чтобы оно работало после iptables. Я не верю, что мне нужны оповещения о трафике, который все равно будет заблокирован.
Есть ли причина, по которой я хотел бы видеть эти оповещения, и если нет, то есть ли способ настроить их так, чтобы я не получал оповещения о пакетах, заблокированных iptables?
1 ответ
Поскольку и Snort, и Iptables получают пакеты от интерфейса, оба будут обрабатывать пакеты, и оба будут запускать действие, которое вы дадите в правиле. Нет необходимости использовать Iptables, если вы используете Snort. Создайте правило для Snort, для которого вы настроили Iptables, и установите действие правила Drop in Snort rule. Он будет выполнять ту же работу, что и iptables. Поскольку вы анализируете встроенный трафик, вы должны скомпилировать snort с помощью nfq(очередь netfilter). В встроенном режиме snort будет принимать пакеты из очереди.