我在运行经过修改的 Ubuntu 的树莓派上安装了 snort。在我的调制解调器和路由器之间有一个交换机,它将所有流量镜像到连接到树莓派上的 eth0 接口的端口。
在我的树莓派上,我有连接到水龙头的 eth0,以及连接到我的家庭网络的无线接口。
如果我在我的 pi 上从命令行运行以下命令并从网络内 ping 我的机器,它将触发以下规则
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
但是当我访问网站或从网络中的计算机 ping 网站时,我无法通过 eth0 在 pi 上触发警报。到目前为止,我还无法从以太网接口触发警报。
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0
alert tcp any any -> $HOME_NET any (msg:"Alert This Message"; sid:10000002; rev:002;)
跑步ifconfig -a让我
eth0 blah
blah
UP BROADCAST RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:165909 errors:0 dropped:0 overruns:0 frame:0
TX packets:230 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8747971 (8.7 MB) TX bytes:78700 (78.7 KB)
这让我相信这不是交换机的问题,因为它显示我接收了数据包。
不确定我还能提供什么其他信息,但我希望得到一些故障排除技巧。
答案1
我对这个感到很尴尬,但问题在于我如何定义变量 HOME_NET。由于我的分接头位于路由器前面,因此本地网络不准确。