Re: Snort+Iptables
Buenas lista,
hay una versión de snort que puede hacer algo parecido, se llama
snort-inline. Lo que propone es, usando una de las características de
iptables (QUEUE), enviar el paquete a snort-inline para que este lo
analice antes de salir del firewall. Yo lo he usado para montar
honneypots y pequeños firewalls de aplicación. Como desventajas tiene
que muy posiblemente tengas que recompilar el kernel, porque ipt_QUEUE
no viene por defecto en casi ninguna distribución y que además, si el
proceso se muere te quedas sin firewall.
url: http://snort-inline.sourceforge.net
Un saludo,
Iñaki R.
El mié, 19-01-2005 a las 16:10, Andres Aponte escribió:
> Saludos Mauricio primero que todo gracias por tu
> respuesta, si he tenido la oportunidad de trabajar con
> Portsentry, pero la limitante es que portsentry solo
> me detecta scaners de puertos mas no intrusos como
> xploits, troyanos, etc, por esto fue que recurri a
> Snort, pero aun no he encontrado un paquete que me
> permita cerrar acceso a ips mediante iptables
> basandose en los reportes de snort
>
> --- Mauricio Rivas <mrivas2@planinsa.com> escribió:
> > Amigo Andre, no se para snort, pero portsentry lo
> > hace para toda ip que
> > scanee los puertos, si te sirve. Portsentry en un
> > paquete debian por lo
> > menos en sarge no se en woody
> >
> > Mauricio Rivas
> > Caracas-Venezuela
> > Linux User #377231
> > ----- Original Message -----
> > From: "Andres Aponte" <andresglinux@yahoo.com>
> > To: <debian-user-spanish@lists.debian.org>
> > Sent: Wednesday, January 19, 2005 11:03 AM
> > Subject: Snort+Iptables
> >
> >
> > > Saludos lista, quisiera saber si existe algun
> > programa
> > > en debian que me permita tomar la salida de
> > ataques
> > > detectados por Snort y generar reglas de Iptables
> > para
> > > denegar las ip de donde provienen dichos ataques.
> > >
> > > Gracias
> > >
> > >
> >
> _________________________________________________________
> > > Do You Yahoo!?
> > > Información de Estados Unidos y América Latina, en
> > Yahoo! Noticias.
> > > Visítanos en http://noticias.espanol.yahoo.com
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to
> > debian-user-spanish-REQUEST@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact
> > > listmaster@lists.debian.org
> > >
> >
> >
>
> _________________________________________________________
> Do You Yahoo!?
> Información de Estados Unidos y América Latina, en Yahoo! Noticias.
> Visítanos en http://noticias.espanol.yahoo.com
>
Reply to: