Назад | Перейти на главную страницу

Snort не отбрасывает пакеты

поскольку мы хотим защитить нашу сеть от вредоносного трафика, мы думаем о настройке snort на наших маршрутизаторах. Для тестирования я построил систему для репликации сетевой архитектуры, состоящей из моего хоста и двух виртуальных машин. Хост в сети 192.168.57.0/24. ВМ 1 (с snort) в сети 192.168.57.0/24 на eth1 и 169.254.161.0/24 на eth2 ВМ 2 находится в сети 169.254.161.0/24 на eth1.

Маршрутизация настроена правильно на всех машинах, поэтому эхо-запрос работает в обоих направлениях от хоста к ВМ 2.

Конфигурация сети ВМ 1:

auto eth1
iface eth1 inet manual
        up ifconfig $IFACE 192.168.57.101 up
        up ip link set $IFACE promisc on
        post-up ethtool -K $IFACE gro off
        post-up ethtool -K $IFACE lro off
        down ip link set $IFACE promisc off
        down ifconfig $IFACE down

auto eth2
iface eth2 inet manual
        up ifconfig $IFACE 169.254.161.237 up
        up ifconfig $IFACE 0.0.0.0 up
        up ip link set $IFACE promisc on
        post-up ethtool -K $IFACE gro off
        post-up ethtool -K $IFACE lro off
        down ip link set $IFACE promisc off
        down ifconfig $IFACE down

/etc/snort/snort.conf:

var RULE_PATH /etc/snort/rules

config daq: afpacket
config daq_mode: inline
config daq_var: buffer_size_mb=1024
config policy_mode: inline

preprocessor normalize_ip4
preprocessor normalize_tcp: ips ecn stream
preprocessor normalize_icmp4
preprocessor normalize_ip6
preprocessor normalize_icmp6

include $RULE_PATH/local.rules

/etc/snort/rules/local.rules:

drop udp any any -> any any (msg:"UDP Traffic"; rev:1;sid:1;)

/proc/sys/net/ipv4/ip_forward установлен на 1.

Когда я бегаю с фырканьем snort -i eth1:eth2 -c /etc/snort/snort.conf -Q -A console и отправить пакет UDP с моего хоста на виртуальную машину 2 snort показывает следующий результат:

12/04-10:18:59.694958  [Drop] [**] [1:1:1] UDP Traffic [**] [Priority: 0] {UDP} 192.168.57.1:44625 -> 169.254.161.236:5050
12/04-10:18:59.694910  [Drop] [**] [1:1:1] UDP Traffic [**] [Priority: 0] {UDP} 192.168.57.1:44625 -> 169.254.161.236:5050

Однако пакет поступает на виртуальную машину 2 и не отбрасывается.

Согласно любому источнику, конфигурация должна быть в порядке и работать. Таким образом, я не знаю, почему пакеты все еще пересылаются.

Какие-либо предложения?