我运行 Centos 6.5 服务器,该服务器具有高度限制性的iptables规则集,仅允许少数 TCP 端口(总共 8 个)传入流量,并阻止所有传入的未经请求的 UDP 流量。
我最近从源代码构建了 snort 2.9.7.0 并正在运行它policy_mode:inline-test
我注意到它对被我的iptables配置阻止的数据包发出警报,从中我推测它之前已将其自身插入到处理链中iptables。
我已经阅读了手册并进行了多次网络搜索,但没有找到任何提及此行为的信息,也没有找到如何配置它以使其在 iptables之后运行的信息。我不认为我需要有关无论如何都会被阻止的流量的警报。
我是否有理由希望看到这些警报,如果没有,是否有办法进行设置,这样我就不会收到 iptables 阻止的数据包的警报?
小智 0
由于 Snort 和 Iptables 都从接口获取数据包,因此两者都会处理数据包,并且都会触发您在规则中给出的操作。如果您运行 Snort,则无需使用 Iptables。为已配置 Iptables 的 Snort 创建规则,并在 Snort 规则中设置规则操作“Drop”。它将完成与 iptables 相同的工作。由于您正在分析内联流量,因此您已经使用 nfq(netfilter 队列)编译了 snort。在内联模式下,snort 将从队列中取出数据包。