Я пишу "парсер" для предупреждений системного журнала snort, и мне нужно, чтобы предупреждения системного журнала отправлялись на удаленный хост в той же сети, в настоящее время snort работает в системе CentOS 7 на машине, которая работает как мост междудве другие машины.
Примерно так:
A ---- (eth1) Snort (eth0) ---- B
Мой snort.conf действительно прост:
include /etc/snort/rules/apiRules.rules
output alert_syslog: host=10.20.10.1:514, LOG_AUTH LOG_ALERT
10.20.10.1 - это IP-адрес хоста B.
Внутри файла /etc/snort/rules/apiRules.rules у нас есть очень простое правило icmp:
alert icmp any any -> any any
При указанной выше конфигурации я запускал snort через командную строку с помощью:
snort -A console -i eth1 -u snort -g snort -c /etc/snort/snort.conf
В тестах я проверял связь с хостом B с хоста A (эхо-запрос прошел через мост машины snort), было напечатано предупреждениеэкран и все, но на хосте B прослушиватель на порту 514. ничего не показывал.
Я попытался изменить вывод системного журнала на snort localhost, но все равно не повезло.Что-то не так с моей конфигурацией?Мне нужно добавить что-нибудь еще?Это как-то связано с тем, что нюхательный аппарат работает как мост?