Я установил snort на Raspberry Pi, работающем на модифицированном Ubuntu. Между моим модемом и маршрутизатором у меня есть коммутатор, который отражает весь трафик на порт, который подключен к интерфейсу eth0 на моем Raspberry Pi.
На моем Raspberry Pi у меня есть eth0, который подключен к крану, и беспроводной интерфейс, который подключен к моей домашней сети.
Если я запускаю приведенную ниже команду из командной строки на своем пи и пингую мою машину из сети, это вызовет приведенное ниже правило
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
Но когда я захожу на сайт или пингую сайт с компьютера в моей сети, я не могу получить оповещение для запуска на пи через eth0. До сих пор я не смог вызвать предупреждение от интерфейса Ethernet.
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0
alert tcp any any -> $HOME_NET any (msg:"Alert This Message"; sid:10000002; rev:002;)
бег ifconfig -a
дает мне
eth0 blah
blah
UP BROADCAST RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:165909 errors:0 dropped:0 overruns:0 frame:0
TX packets:230 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8747971 (8.7 MB) TX bytes:78700 (78.7 KB)
что заставляет меня поверить, что это не коммутатор, так как показывает, что я получаю пакеты.
Не уверен, какую другую информацию я могу дать, но я был бы признателен за некоторые методы съемки проблем.
Ответы:
Я чувствую смущение по этому поводу, но проблема была в том, как я определил переменную HOME_NET. Поскольку мой кран находится перед маршрутизатором, локальная сеть была неточной.
источник