Pessoal,
No PF coloquei a regra para bloquear todo tráfego (com log) de entrada,
exceto algumas portas de serviços (web, openvpn, ssh, etc)...
Ontem analisando os logs tenho visto MUITOS portscan... o estranho é que a
internet cai... acredito que seja alguma proteção da telemar (velox*)... o
PPP fica ativo, o ip aparece no ifconfig, mas não pinga nada... mato o PPP,
recarrego, e volta tudo a funcionar... (o ppp não consegue rediscar nessa
situação).
A algum tempo atrás instalei o snort, ele gerava o alert e o OSSEC enviava o
ip para o IPFW bloquear... funfava direitinho... só que o modem ADSL era
roteado, decidi cancelar o roteamento e deixar ele bridge, já que ele fazia
nat e o freebsd também (PF NAT)... ou seja, tinha NAT duas vezes
(cascata)... comecei então a usar PPP, e minha interface externa que era
sis0 agora é TUN0... já tentei de tudo na configuração do SNORT (external
interface), mas ele não consegue mais analisar os pacotes... com isso os
ataques chegam e não consigo bloquear... alguém usa ppp e tem snort? poderia
mostrar como configurou a interface externa no snort.conf?
O meu:
var HOME_NET
[192.168.0.0/24,192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,192.16
8.4.0/24,192.168.5.0/24,192.168.102.0/24]
var EXTERNAL_NET !$HOME_NET
Já alterei esse external_net para vários valores, mas ele não loga... quando
o modem era roteado isso funfava perfeitamente... tem algum parâmetro extra
para o snort funcionar com interfaces TUN?
Ou se alguém souber alguma regra que de PF ou IPFW que me ajuda até eu
resolver essa bronca no snort...
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
