|
|
|
Можно ли установить сенсор Snort-а на модем?
|
|||
|---|---|---|---|
|
#18+
Привет всем! Пробую установить snort 2.4.3 на проксю — хочу контролировать трафик, приходящий на модем (то есть до фаервола). Соединение модема (выделенка) с провайдером точка-точка. Возможно ли настроить сенсор на "вход" сетевого интерфейса модема (Сириус 128 на COM-порте)? Если я поставлю сенсор на интерфейс модема, то где будет перехватываться трафик — до фаервола или после? В доступных ебуках и доках подобный вариант не рассматривается. Подозреваю, что перехват пакетов до фаервола возможен, однако в этом не уверен. Если я не смогу так перехватывать, то и не буду огород городить. CentOS 3.6. Могу ли я прослушивать пакеты до фаервола (модем на COM-порте)? Заранее благодарю за подсказки. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.11.2005, 12:59:38 |
|
||
|
Можно ли установить сенсор Snort-а на модем?
|
|||
|---|---|---|---|
|
#18+
я так понял, что снорт перехватывает пакеты до фильтра. в этом весь смысл. по крайней мере из практики: допустим все входящие закрыты iptables, но снорт детектит попытки конекта на порт ms sql сервера (в линуксе-то :)). ну а чтобы настроить, указывай снорту интерфейс ppp0. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.11.2005, 14:02:22 |
|
||
|
Можно ли установить сенсор Snort-а на модем?
|
|||
|---|---|---|---|
|
#18+
1. Не знаю как у CentOS, а у FreeBSD схема следующая: Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 2. Как правило при PPP провайдер дает netmask 255.255.255.255 3. Snort не перехватывает а слушает. 4. Хотите контролировать левый трафик используйте log_in_vain  http://surgutnet.ru ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.11.2005, 16:21:12 |
|
||
|
Можно ли установить сенсор Snort-а на модем?
|
|||
|---|---|---|---|
|
#18+
Выдержка из Snort FAQ: автор 4.4 Does snort see packets filtered by IPTables/IPChains/IPF/PF? Snort operates using libpcap. In general it sees everything the network adapter driver sees before the network stack munges it. Linux IPTables, Linux IPChains, BSD PF and IPF and other packet filters do not prevent snort from seeing a packet that is present on the network wire. Even if an inbound packet is denied by the packet filter Snort will still see and analyze the packet if it is listening to that interface. Snort/pcap sees whatever comes out of or goes into the network adapter. Note however that Snort is affected to the extent that the stream of data on the network wire is affected. Thus Snort will not see outbound packets which were denied while being sent since they will never reach the network adapter. Under OpenBSD you can snort just the PF rejects by using the /dev/pflogN interface. И действительно, уже в логах есть попытки доступа извне (пока только пинги из одного айпишника). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2005, 13:01:20 |
|
||
|
|
start [/forum/topic.php?fid=25&msg=33397063&tid=1490000]: |
0ms |
get settings: |
8ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
100ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
33ms |
get tp. blocked users: |
1ms |
| others: | 210ms |
| total: | 384ms |
| 0 / 0 |
