Parece que o módulo ip_queue está carregado aqui. Faça o seguinte e verifique uma vez:
modprobe ip_queue
modprobe iptable_filter
Em seguida, adicione a regra de fila. Marque esta vez, se funcionar.
Estou tentando configurar um firewall com suporte para o snort e ele está descartando todos os meus pacotes quando adiciono o destino do QUEUE. Eu fiz assim, mas o alvo QUEUE não está permitindo que os pacotes sejam processados mais:
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -j QUEUE
-A INPUT -j ACCEPT
# It's not allowing anything past QUEUE, as you can see below in the count.
> iptables -I INPUT -nv
pkts bytes target prot opt in out source destination
6707 395K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
933 138K QUEUE all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Eventualmente vou mudá-lo para a frente, mas estou apenas tentando fazê-lo funcionar por agora. Eu começo a bufar assim:
snort -Q -D -c /etc/snort/snort.conf
EDIT: Mais informações
Quando eu o executo, ele ainda vê os pacotes sem ter uma regra de destino QUEUE do iptables, mas quando eu adiciono um alvo do QUEUE, ele começa a perder todos os meus pacotes.
# snort -Qc /etc/snort/snort.conf -N -A console
Enabling inline operation
Running in IDS mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/etc/snort/snort.conf"
## === CUT ===
***
*** interface device lookup found: bond0
***
Initializing Network Interface bond0
Decoding Ethernet on interface bond0
## === CUT ===
Not Using PCAP_FRAMES
Então, diz inline, mas diz que está usando bond0. Inline não deve exigir uma interface, certo?
Parece que o módulo ip_queue está carregado aqui. Faça o seguinte e verifique uma vez:
modprobe ip_queue
modprobe iptable_filter
Em seguida, adicione a regra de fila. Marque esta vez, se funcionar.