Bonsoir, J'ai l'IDS Snort 2.0.2 installé sur une Debian SID. Il est configuré pour écouter tout ce qu'il se passe sur l'interface ppp0 qui possède un IP dynamique qui change donc régulièrement. Seulement voila, un logiciel de p2p est installé sur la machine et ping énormément vers l'extérieur. Du coup, /var/log/snort/portscan2.log est bourré de message renseignant que JE ping vers l'extérieure, noyant les autres alertes possibles. Dans le fichier de conf /etc/snort/snort.conf, voila ce qui est intéressant : ># ># Portscan2 >#------------------------------------------- ># Portscan 2, detect portscans in a new and exciting way. You must ># enable spp_conversation in order to use this preprocessor. ># ># Available options: ># scanners_max [num] ># targets_max [num] ># target_limit [num] ># port_limit [num] ># timeout [num] ># log [logdir] ># >preprocessor portscan2: scanners_max 256, targets_max 1024, >target_limit 5, port_limit 20, timeout 60, log portscan2.log > ># Too many false alerts from portscan2? Tone it down with ># portscan2-ignorehosts! ># ># A space delimited list of addresses in CIDR notation to ignore ># ># preprocessor portscan2-ignorehosts: 10.0.0.0/8 192.168.24.0/24 ># Est ce que je devrais rajouter une ligne "preprocessor portscan2-ignorehosts: " ? Si oui, comment mettre l'ip de eth0 puisqu'il est dynamique ? Si quelqu'un a une solution ce serait sympas, j'ai déjà cherché tout l'après midi avec google et à tâtons. Merci Max ---- Clef GnuPG : http://castor-server.homelinux.org/max/maxlelubre.key.gpg
Attachment:
pgp7InIDlopzn.pgp
Description: PGP signature