Eu me sinto envergonhado com isso, mas a questão era como defini a variável HOME_NET. Como meu toque está na frente do roteador, a rede local estava imprecisa.
Eu tenho snort configurado em um pi framboesa executando um Ubuntu modificado. Entre meu modem e roteador eu tenho um switch que espelha todo o tráfego para uma porta que está conectada à interface eth0 no meu pi de framboesa.
No meu pi de framboesa eu tenho eth0 que está conectado à torneira e uma interface sem fio que está conectada à minha rede doméstica.
Se eu executar o abaixo da linha de comando no meu pi e ping minha máquina de dentro da rede, ele acionará a regra abaixo
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
Mas quando eu visito um site ou faço ping em um site de um computador na minha rede, não consigo obter um alerta para acionar o pi via eth0. Até agora não consegui acionar um alerta da interface ethernet.
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0
alert tcp any any -> $HOME_NET any (msg:"Alert This Message"; sid:10000002; rev:002;)
executando ifconfig -a me dá
eth0 blah
blah
UP BROADCAST RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:165909 errors:0 dropped:0 overruns:0 frame:0
TX packets:230 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8747971 (8.7 MB) TX bytes:78700 (78.7 KB)
que me leva a acreditar que não é a troca, já que me mostra recebendo pacotes.
Não tenho certeza sobre outras informações que posso dar, mas gostaria de algumas técnicas de resolução de problemas.
Eu me sinto envergonhado com isso, mas a questão era como defini a variável HOME_NET. Como meu toque está na frente do roteador, a rede local estava imprecisa.