LINUX.ORG.RU

snort: правило drop icmp rule не дропает пакеты

 , ,


0

3

Установил snort-2.9.7 из исходников и запускаю в качестве IDS:

% snort -devQ -A console -c /etc/snort/snort.conf -i eth0:eth1
Enabling inline operation
Running in IDS mode
...

Конфиг очень тривиальный:

#
var RULE_PATH rules
# Set up the external network addresses. Leave as "any" in most situations
ipvar EXTERNAL_NET any
# Setup the network addresses you are protecting
ipvar HOME_NET [10.10.10.0/24]
config daq: afpacket
config daq_mode: inline
config policy_mode:inline
include $RULE_PATH/icmp.rules

Правило в icmp.rules простое в целях тестирования:

reject icmp 10.10.10.2 any <> 10.10.10.1 any (msg:"Blocking ICMP Packet from 10.10.10.2"; sid:1000001; rev:1;)

На хосте где запузен Snort интерфейс eth0 с адресом 10.10.10.1, посылаю ping на 10.10.10.1 с другого хоста, icmp пакеты не дропаются Снортом, а возвращаются icmp ответы:

02/27-15:04:40.623763  [Drop] [**] [1:1000001:1] Blocking ICMP Packet from 10.10.10.2 [**] [Priority: 0] {ICMP} 10.10.10.2 -> 10.10.10.1

Что я делаю не так?

★★

Может я что-то не так понял, но в режиме afpacket на интерфейсы, которые указаны в ″-i eth0:eth1″ не должно быть назначено ip-адресов. snort сам берёт пакеты с одно из них и перекидывает или не перекидывает на второй.

А если у вас ip-адрес на самой машине, на этом интерфейсе, то snort'то пакет не пустит на второй интерфейс, а ядро на icmp-запрос ответит. https://www.snort.org/documents/snort-ips-using-daq-afpacket

mky ★★★★★ ()
Ответ на: комментарий от cruz7

″--daq nfq″ и создать в цепочках iptables правила ″-j NFQUEUE″. Ну и понятно, что ″-j NFQUEUE″ должно быть перед ″-j ACCEPT″.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.