我正在尝试设置支持 snort 的防火墙,当我添加 QUEUE 目标时,它会丢弃我的所有数据包。我已将其设置为这样,但 QUEUE 目标不允许进一步处理数据包:
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -j QUEUE
-A INPUT -j ACCEPT
# It's not allowing anything past QUEUE, as you can see below in the count.
> iptables -I INPUT -nv
pkts bytes target prot opt in out source destination
6707 395K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
933 138K QUEUE all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
我最终会将其改为前进,但现在我只是想让它工作。我开始像这样哼哼:
snort -Q -D -c /etc/snort/snort.conf
编辑:更多信息
当我运行它时,它仍然会看到没有 iptables QUEUE 目标规则的数据包,但是当我添加 QUEUE 目标时,它开始丢失所有数据包。
# snort -Qc /etc/snort/snort.conf -N -A console
Enabling inline operation
Running in IDS mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/etc/snort/snort.conf"
## === CUT ===
***
*** interface device lookup found: bond0
***
Initializing Network Interface bond0
Decoding Ethernet on interface bond0
## === CUT ===
Not Using PCAP_FRAMES
所以,它说的是内联,但它说它正在使用 bond0。内联不应该需要接口,对吗?
答案1
似乎 ip_queue 模块已在此处加载。执行以下操作并检查一次:
modprobe ip_queue
modprobe iptable_filter
然后添加队列规则。检查一下是否有效。