我运行的是 Centos 6.5 服务器,该服务器具有高度严格的iptables
规则集,仅允许在少数几个 tcp 端口(总共 8 个)上传入流量,并阻止所有传入的未经请求的 UDP 流量。
我最近从源代码构建了 snort 2.9.7.0,并正在运行它policy_mode:inline-test
我注意到它对被我的配置阻止的数据包发出警报iptables
,由此我推测它之前已插入到处理链中iptables
。
我已经阅读了手册并进行了多次网络搜索,但找不到任何关于此行为的提及,或者如何配置它以使其运行后iptables。我认为我不需要对将被阻止的流量发出警报。
我是否有理由希望看到这些警报?如果没有,是否有办法进行设置,以便我不会收到有关 iptables 阻止的数据包的警报?
答案1
由于 Snort 和 Iptables 都从接口获取数据包,因此两者都将处理数据包,并且两者都将触发规则中给出的操作。如果您正在运行 Snort,则无需使用 Iptables。为已配置 Iptables 的 Snort 创建规则,并在 Snort 规则中设置规则操作 Drop。它将执行与 iptables 相同的工作。由于您正在分析内联流量,因此您已使用 nfq(netfilter 队列)编译 snort。在内联模式下,snort 将从队列中获取数据包。