Я запускаю snort во встроенном режиме (afpacket), и вот мои настройки.
**VM1** (eth0: 10.0.10.20/24)
^
|
|
v
(eth0: 10.0.10.10/24)
**Snort**
(eth1: 10.0.20.10/24)
^
|
|
v
(eth0: 10.0.20.20/24) **VM2**
Я запускаю snort с помощью этой команды:
sudo snort -Q -c /etc/snort/snort.conf -i eth0:eth1 -A console
Мой snort.conf имеетследующие строки:
config daq: afpacket
config daq_dir: /usr/local/lib/daq/
config daq_mode: inline
config policy_mode: inline
config daq_var: buffer_size_mb=128
И мой файл local.rules имеет одно правило:
pass icmp any any -> any any (msg:"received icmp ping"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)
Теперь, когда VM1 пропингует VM2 (маршрутизация настроена на обеих машинах),Я вижу, что Snort передает пакеты от eth0 к eth1 (обновляется счетчик TX eth1).Однако пакеты не покидают виртуальную машину, на которой работает Snort, и не достигают VM2.Я понятия не имею, почему это происходит.При использовании действия удаления VM1 получает «пункт назначения недоступен», поэтому я думаю, что Snort работает хорошо.Но проблема, похоже, связана с сетью хоста виртуальной машины, на которой работает Snort.
Есть идеи, почему это происходит?
Спасибо,