Я пытаюсь понять как iptables и NFQ работают вместе с snort.
Я спрашиваю об этом потому, что насколько я понимаю snort можно установить IPS через NFQ, но если у вас есть iptables там, по сути, правила брандмауэра, поэтому мой вопрос, поскольку то, что я пытаюсь сделать, - это отбрасывать пакеты, соответствующие приведенному ниже правилу (разделены для удобства чтения):
drop tcp any any -> $HOME_NET 80
(flags:S; msg:"Possible TCP Dos Be Careful !!"; flow:stateless;
detection_filter: track by_dst, count 70, seconds 10;
sid:10001;rev:1;)
Предостережение в том, что iptables также кажется, что может отбрасывать пакеты на основе правила, поэтому, если это правда, то я спрашиваю, как все это работает вместе с учетом конфигурации, которая у меня есть при запуске snort (см. ниже)?
vim /usr/local/snort/etc/snort.conf
config daq: nfq
config daq_mode: inline
config daq_var: queue=0
iptables --append FORWARD --jump NFQUEUE --queue-num 0
/usr/local/snort/bin/snort -m 027 -d -l /var/log/snort \
-u snort -g snort -c /usr/local/snort/etc/snort.conf \
-Q -S HOME_NET=[192.168.1.0/24]
Что ж, я средний пользователь snort, и я постараюсь дать вам больше информации об этом по шагам:
Вы должны знать несколько важных вещей (я читал их в списке рассылки seclist):