Hallo LUG OWL. Ich habe folgenden Effekt auf zwei Systemen mit Snort Testkonfigurationen.
snort-test.conf alert icmp any any -> any any (sid:23;msg:"ping ist da";) iptables policy überall DROP ESTABLISHED und RELATED werden durchgelassen. iptables -A INPUT -p icmp -j QUEUE snort -Q -i eth0 -l slog/ -c snort-test.conf Rechner A snort 2.8.0.2 Ableger von Ubuntu Rechner B snort 2.8.5.? Fedora Umfeld Beide Rechner werden von einem dritten Rechner angepingt. Rechner A antwortet auf den Ping, im Log stehen Pakete mit ECHO und solche mit ECHO REPLY. Ein iptables -A INPUT -j DROP ändert daran nichts. Snort macht anscheinend am Ende ein accept, kein return. Auf das return müsste spätestens bei der policy ein drop folgen. Rechner B antwortet nicht auf den Ping. Im Log steht der Ping nur mit den ECHO Paketen. Hinter der QUEUE wird in INPUT der Ping explizit durchgeschaltet. Ohne die QUEUE Regel pingt es einwandfrei. Snort macht am Ende anscheinend ein drop, kein return. Auf das return würde ein explizites accept folgen. Sieht fast wie eine Inversion der durch QUEUE abgewendeten Zukunft für das Paket aus. Leider finde ich für Snort inline keine Minimalkonfiguration, um ein identisches Verhalten zu reproduzieren. Möglicherweise sind mir auch noch einige Firewallregeln im Weg, aber ich habe keinen Ansatz, worauf ich achten muss. Ich bin mir ziemlich sicher, dass es sich um ein triviales Problem handelt und ich den Wald vor lauter Bäumen nicht sehe. Die Paketfilter filtern nur state NEW und geben einiges explizit an, Snort sieht mindestens die eingehenden Pakete in beiden Fällen und ab da bin ich derzeit ratlos und dankbar für alle Tipps, die mich in die richtige Richtung stoßen. Gruss Frank -- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
