Я хочу предотвратить атаки на мой сервер nginx. Как я могу проксировать запросы через snort на сервер nginx.
NFQueue - это решение. Я могу передавать пакеты для snort, используя следующие правила
sudo snort -Q --daq nfq --daq-var --daq-var queue=1 -c /etc/snort/snort.conf
Теперь я создал очередь
sudo /usr/sbin/iptables -t nat -I PREROUTING -j NFQUEUE --queue-num 1
sudo /usr/sbin/iptables -I FORWARD -j NFQUEUE --queue-num 1
Этого достаточно, или нам нужно заняться чем-то еще, кроме этого.
Nginx работает в той же системе, что и snort.
Если ваш вопрос касается настройки Snort в качестве IPS для защиты вашего сервера, я считаю, что вы следовали правильным инструкциям по его настройке. Созданные вами правила кажутся законными; вам нужно будет загрузить и поддерживать правила в актуальном состоянии (я думаю, что PulledPork или Oinkcodes могут помочь), если вы еще этого не сделали, и протестировать. Также может быть удобно создать службу для запуска / перезапуска / остановки Snort.
Если вы хотите знать, достаточно ли использования Snort для защиты вашего веб-сервера, к сожалению, ответ будет отрицательным ...
немного не по теме: исходя из вашего сценария, запуск snort of protect nginx / web-request может быть немного завышенным. Кроме того, snort будет бесполезен, если вы используете https в своем nginx.
если вашей основной целью является защита от сетевых атак, то вы можете проверить Naxsi, действительно красивое и быстрое решение для nginx, которое намного превосходит mod_security, за исключением некоторых особых случаев. есть также расширенный набор правил для naxsi, докси-правила, который происходит от возникающие угрозы - snort-rules.