Suricata不工作内联模式。
我安装了Debian 7.10和Suricata 3.0.1。
Docs帮助我安装(这里:Installation)
suricata run命令:
suricata -D -pidfile /var/run/suricata.pid -c /etc/suricata.yaml-af-packet=eth0
然后完美地运行,创建日志等等..。但是如果
suricata -D -pidfile /var/run/suricata.pid -c /etc/suricata.yaml -q 0
suricata创建日志,不写入/var/ log /suricata/*.log文件,并且不会发生任何事情.
这是一个具有1NIC的VirtualBox虚拟机。我已经安装了3台vbox机器,所有3台服务器上都存在问题。
有人能帮忙吗?
回答 2
Stack Overflow用户
发布于 2016-04-30 16:29:52
使用-q意味着您使用NFQUEUE,这意味着Suricata从netfilter/iptable获取数据包。因此,有必要使用NFQUEUE关键字设置iptables规则。
仅用于端口80通信量的简单示例:
iptables -A OUTPUT -p tcp --dport 80 -j NFQUEUE
iptables -A INPUT -p tcp --sport 80 -j NFQUEUE有关其他示例和解释,请参见Linux。
(我想这是一个更好的评论,但我需要一个更高的声誉)
Stack Overflow用户
发布于 2020-04-11 10:11:48
这也适用于NFTABLES,这是Netfilter的另一个更新的前端。
确保Suricata是用--enable-nfqueue构建的
suricata --build-info | grep NFQ确保您的NFTABLES和队列准备就绪
zcat /proc/config.gz | grep CONFIG_NF_TABLES
zcat /proc/config.gz | grep CONFIG_NETFILTER_ADVANCED
zcat /proc/config.gz | grep CONFIG_NETFILTER_NETLINK_QUEUE
zcat /proc/config.gz | grep CONFIG_NFT_QUEUE通过将bypass添加到规则集中,即使守护进程可能处于关闭状态或处于维护状态,也可以转发通信量
vi /etc/nftables.conf
chain inline {
type filter hook forward priority 10;
iif eth0 oif eth1 queue bypass;
iif eth1 oif eth0 queue bypass;
}
systemctl reload nftables使用默认队列0
/usr/local/bin/suricata --init-errors-fatal -q 0 -D默认设置在suricata.yaml中是可以的,但是您需要在规则范围内启用丢弃--如果您想使用内联模式,即丢弃数据包,则需要对suricata-update进行调优。
cd /etc/suricata/
cp /usr/local/lib/python3.7/dist-packages/suricata/update/configs/drop.conf .
cp drop.conf drop.conf.dist
vi drop.conf
re:classtype:trojan-activity
suricata-update
suricatasc -c reload-ruleshttps://stackoverflow.com/questions/36956992
复制相似问题
腾讯云开发者
