В качестве проекта у меня есть физический брандмауэр (IP: 10.0.0.2) с портом SPAN, настроенным для физического linux (CentOS 6) (IP: 10.0.0.3), на котором я использую Suricata IDS.
Теоретически я должен получить весь трафик к коробке через интерфейс, который я назвал "span0". Я могу подтвердить это, запустив ifconfig и увидев трафик. Так что все хорошо.
При запуске Suricata: sudo suricata -c /etc/suricata/suricata.yaml -i span0 |Я не получаю никаких ошибок. Также хорошо.
Вопрос здесь заключается в том, как настроить файл suricata.yaml.
- Должен ли я иметь HOME_NET 10.0.0.2 или 10.0.0.0/8?
Ждем ваших отзывов, Ян (Хонза) Новак