Я запускаю сервер Centos 6.5 с очень ограничивающим iptables набор правил, разрешающий входящий трафик только на небольшой горстке TCP-портов (всего 8) и блокирующий весь входящий незапрошенный UDP-трафик.
Недавно я собрал snort 2.9.7.0 из исходников и запускаю его в policy_mode:inline-test
Я замечаю, что он предупреждает о пакетах, заблокированных моим iptables конфигурация, из которой я предполагаю, что она вставила себя в цепочку обработки перед iptables.
Я прочитал руководство и выполнил несколько веб-поисков, но не нашел упоминания об этом поведении или о том, как его настроить, чтобы оно работало. после iptables. Я не верю, что мне нужны оповещения о трафике, который все равно будет заблокирован.
Есть ли причина, по которой я хотел бы видеть эти предупреждения, а если нет, есть ли способ настроить все так, чтобы я не получал предупреждения для пакетов, заблокированных iptables?
Поскольку и Snort, и Iptables получают пакеты от интерфейса, оба будут обрабатывать пакеты, и оба будут запускать действие, указанное вами в правиле. Нет необходимости использовать Iptables, если вы используете Snort. Создайте правило для Snort, которое вы настроили Iptables, и установите действие правила Drop in Snort rule. Он будет выполнять ту же работу, что и iptables. Поскольку вы анализируете встроенный трафик, вы скомпилировали snort с nfq (очередь netfilter). Во встроенном режиме snort будет брать пакеты из очереди.