Я пытаюсь настроить брандмауэр с поддержкой snort, и он отбрасывает все мои пакеты, когда я добавляю цель QUEUE. Я сделал это так, но цель QUEUE не позволяет обрабатывать пакеты дальше:
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -j QUEUE
-A INPUT -j ACCEPT
# It's not allowing anything past QUEUE, as you can see below in the count.
> iptables -I INPUT -nv
pkts bytes target prot opt in out source destination
6707 395K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
933 138K QUEUE all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
В конце концов я собираюсь изменить его на форвард, но пока я просто пытаюсь заставить его работать. Я начинаю вот так фыркать:
snort -Q -D -c /etc/snort/snort.conf
РЕДАКТИРОВАТЬ: Дополнительная информация
Когда я запускаю его, он по-прежнему видит пакеты без целевого правила iptables QUEUE, но когда я добавляю цель QUEUE, он начинает терять все мои пакеты.
# snort -Qc /etc/snort/snort.conf -N -A console
Enabling inline operation
Running in IDS mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/etc/snort/snort.conf"
## === CUT ===
***
*** interface device lookup found: bond0
***
Initializing Network Interface bond0
Decoding Ethernet on interface bond0
## === CUT ===
Not Using PCAP_FRAMES
Итак, он говорит встроенный, но он говорит, что использует bond0. Inline не должен требовать интерфейса, верно?
Кажется, здесь загружен модуль ip_queue. Сделайте следующее и проверьте один раз:
modprobe ip_queue
modprobe iptable_filter
А затем добавьте правило очереди. Проверьте это один раз, если он работает.