У меня есть интерфейс, в котором трафик идет из Интернета на сервер NGINX на сервер приложений. Я хочу отслеживать (IDS) трафик, проходящий между Интернетом и NGINX на L3,4, и IPS - трафик, исходящий из NGINX на сервер приложений на L3,4,7.
Можно ли будет использовать один и тот же экземпляр suricata для обоих?
Не в это время. Ведется работа по поддержке этого варианта использования с использованием NFQUEUE (IPS) и NFLOG (IDS).
Проездной билет: https://redmine.openinfosecfoundation.org/issues/1604
Но пока вам придется запустить 2 экземпляра.