Como o iptables funciona com o NFQ em termos de modelagem de tráfego no snort?

Question

Como o iptables funciona com o NFQ em termos de modelagem de tráfego no snort?

#1 resposta do (0 votos)

4

Estou tentando entender como iptables e NFQ funcionam em conjunto com snort .

A razão que eu pergunto isso é porque pelo que entendi snort pode ser definido para IPS via NFQ, mas se você tem iptables essencialmente regras de firewall, portanto, minha pergunta como o que eu estou tentando fazer é soltar pacotes que correspondem à regra abaixo (dividida por legibilidade):

drop tcp any any -> $HOME_NET 80 
  (flags:S; msg:"Possible TCP Dos Be Careful !!"; flow:stateless;
   detection_filter: track by_dst, count 70, seconds 10;
   sid:10001;rev:1;)

A ressalva para isso é que iptables também parece ser capaz de descartar pacotes com base em uma regra, então se isso for verdade, então o que estou perguntando é como tudo isso funciona em conjunto com a configuração que eu tem quando corria snort (veja abaixo)?

vim /usr/local/snort/etc/snort.conf
config daq: nfq
config daq_mode: inline
config daq_var: queue=0

iptables --append FORWARD --jump NFQUEUE --queue-num 0

/usr/local/snort/bin/snort -m 027 -d -l /var/log/snort \
  -u snort -g snort -c /usr/local/snort/etc/snort.conf \
  -Q -S HOME_NET=[192.168.1.0/24]

iptables traffic snort blocking rules

por Danny 16.04.2015 / 08:47

1 resposta

Tags iptables traffic snort blocking rules

mod_wsgi Fim da saída do script antes dos cabeçalhos O dimensionamento automático do Coreos com o docker e o fleetctl na AWS

score 0 · Answer 1

Bem, sou um usuário snort comum e tentarei fornecer mais informações sobre isso em etapas:

Inicie uma instância de snort usando o nfq como o daq;
Em seguida, você cria uma regra em iptables / ip6tables com o destino NFQUEUE . regra envia o pacote para o userspace para que o snort possa analisá-lo;

Há algumas coisas importantes que você deve saber (li-as na listagem de listas de mensagens):

As regras do iptables devem ser criadas após o início da instância do snort;
Após a regra ser enviada para o espaço do usuário e ameaçada pelo snort, qualquer regra iptables subsequente na cadeia será ignorada ;
Snort com nfq como daq não pode analisar o tráfego ipv4 e ipv6 simultaneamente, então você tem que criar regras com iptables e ip6tables e cada um deve enviar para uma instância de snort (não tenho certeza se eles podem enviar pacotes para o mesma fila);