Eu defini as seguintes regras no iptables:
sudo iptables -I INPUT -i eth0 -p tcp -s 192.168.37.184 -j NFQUEUE
sudo iptables -I OUTPUT -p tcp --dport 3306 -j NFQUEUE
O que eu quero fazer é encaminhar todos os dados de tráfego do Mysql para o NFQ, e gostaria de detectar esses dados no Suricata, mas essas regras de iptable não funcionam como esperado, apenas parte dos dados no NFQ entra em Suricata (ou apenas parte dos dados entra no NFQ). mas quando eu defino os seguintes iptables:
sudo iptables -I INPUT -j NFQUEUE
sudo iptables -I OUTPUT -j NFQUEUE
Isso funciona bem, todos os pacotes entram no NFQ e todos detectados pelo Suricata, mas essa regra iptable encaminha todo o tráfego para o NFQ, e isso não é o que eu quero.
Minha pergunta é como definir regras específicas do iptables somente se aplicam ao protocolo Mysql?
Verifique se você tem o módulo do kernel NFQ carregado:
lsmod | grep nfnetlink_queue
Verifique se os pacotes estão correspondendo às regras do iptables
sudo iptables -vn -L
Para usar apenas o alvo do Suricata para o MySQL, o seguinte deve funcionar:
sudo iptables -I INPUT -p tcp --dport 3306 -j NFQUEUE
sudo iptables -I OUTPUT -p tcp --sport 3306 -j NFQUEUE
Tags iptables