Hallo nochmal ;-)

Wo wir grad schon einmal bei Snort sind noch eine Frage:
Ich benutze ein Iptables Script auf der Basis von Harrys generiertem.
Also bekommt Snort doch nur die vom Iptables Script durchgelassenen Pakete zu sehen, oder?
Das wäre ja nicht so toll da mein Iptables Script viele Sachen (falsche Flags, Portscans...) selbst droppt.

Ich habe mal was von Iptables Scripts gelesen, die die Pakete die von Bedeutung sind (bei mir alles von ppp0) inline an Snort weiterreichen (ungefiltert/gefiltert???)

Kann mir jemand dazu eine kurze Erklärung geben?
Wie habt ihr das ganze realisiert?

Bin gespannt :-)

cane

hi,

nein, snort bekommt ALLE pakete zu sehen, da er sozusagen vor dem netfilter hängt...
also könntest du theoretisch auch alles droppen :)

mfg,
matze

kurz und knapp that's nice!
Danke Matzetronic

cane

moin moin


naja es kommt drauf an, an welchem interface du snort *lauschen* läßt. wenn du snort nur am inneren interface lauschen läßt, bekommst du nicht mit, was vor deiner haustür für *partys* gefeiert werden.


Gruß HL

*sfg* danke, HL - das hatte ich eigentlich auch vorausgesetzt :)

(posten wir hier grad um die wette ?)

matze

Ich habe mal was von Iptables Scripts gelesen, die die Pakete die von Bedeutung sind (bei mir alles von ppp0) inline an Snort weiterreichen (ungefiltert/gefiltert???)

Richtig vorrausgesetzt:D :D :D

cane

@Matzetronic

;) ich hatte snort auch schon an beiden karten lauschen lassen. momentan läuft snort aber gar nicht bei mir.


Gruß HL