Я пытаюсь использовать SNORT в качестве IDS внутри net с 2-мя машинами, но не могу заставить его работать как положено. Вот что я уже сделал:
- Добавлено следующее в /etc/snort/snort.config:
config policy_mode:inline
config daq: afpacket
config daq_mode: inline
- Отключено gro и lro используя
ethtool -K eth1 gro off
ethtool -K eth1 lro off
- Сконфигурировал мои интерфейсы в случайном режиме с помощью
ip link set eth0 promisc on
ip link set eth1 promisc on
- Добавлено правило в / etc / snort / rules / local .rules
reject tcp 20.10.50.5/24 any -> 20.10.50.9/24 any (msg:"TCP intercepted";sid:1000005;rev:1;priority:1;)
Машина с 20.10.50.9 запускает HTTP-сервер на портах 5000: 5002, и когда я запускаю петицию с машины с 20.10.50.5, когда curl http://20.10.50.9:5002/set/volumen/6 snort выводит следующее:
[Drop] [**] [1:1000005:1] TCP intercepted [**] [Priority: 1] {TCP} 20.10.50.5:48836 -> 20.10.50.9:5002
Но пакет достигает сервера, когда он изменяет переменную. Наконец, я вызываю snort из командной строки # snort -A console -Q -c /etc/snort/snort.conf -i eth0:eth1 -k none. Любая помощь приветствуется, потому что я совершенно потерян.