Назад | Перейти на главную страницу

Iptables QUEUE Target и Snort

Я пытаюсь настроить брандмауэр с поддержкой snort, и он отбрасывает все мои пакеты, когда я добавляю цель QUEUE. Я сделал это так, но цель QUEUE не позволяет обрабатывать пакеты дальше:

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -j QUEUE 
-A INPUT -j ACCEPT

# It's not allowing anything past QUEUE, as you can see below in the count.
> iptables -I INPUT -nv
 pkts bytes target     prot opt in     out     source               destination         
 6707  395K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
  933  138K QUEUE      all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

В конце концов я собираюсь изменить его на форвард, но пока я просто пытаюсь заставить его работать. Я начинаю вот так фыркать:

snort -Q -D -c /etc/snort/snort.conf

РЕДАКТИРОВАТЬ: Дополнительная информация

Когда я запускаю его, он по-прежнему видит пакеты без целевого правила iptables QUEUE, но когда я добавляю цель QUEUE, он начинает терять все мои пакеты.

# snort -Qc /etc/snort/snort.conf -N -A console
Enabling inline operation
Running in IDS mode

        --== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/etc/snort/snort.conf"
## === CUT ===
***
*** interface device lookup found: bond0
***
Initializing Network Interface bond0
Decoding Ethernet on interface bond0
## === CUT ===
Not Using PCAP_FRAMES

Итак, он говорит встроенный, но он говорит, что использует bond0. Inline не должен требовать интерфейса, верно?

Кажется, здесь загружен модуль ip_queue. Сделайте следующее и проверьте один раз:

modprobe ip_queue
modprobe iptable_filter

А затем добавьте правило очереди. Проверьте это один раз, если он работает.