Bem, sou um usuário snort comum e tentarei fornecer mais informações sobre isso em etapas:
- Inicie uma instância de snort usando o nfq como o daq;
- Em seguida, você cria uma regra em iptables / ip6tables com o destino NFQUEUE . regra envia o pacote para o userspace para que o snort possa analisá-lo;
Há algumas coisas importantes que você deve saber (li-as na listagem de listas de mensagens):
- As regras do iptables devem ser criadas após o início da instância do snort;
- Após a regra ser enviada para o espaço do usuário e ameaçada pelo snort, qualquer regra iptables subsequente na cadeia será ignorada ;
- Snort com nfq como daq não pode analisar o tráfego ipv4 e ipv6 simultaneamente, então você tem que criar regras com iptables e ip6tables e cada um deve enviar para uma instância de snort (não tenho certeza se eles podem enviar pacotes para o mesma fila);