Com o snort você ativa o snortsam e aplica o patch.
Daí tudo que o snortsam achar na regra especifica que você alterar(você
adiciona no rules/nome_da_regra uma flag pra o snortsam analisar), ele cria
uma table.
Assim, o snortsam coloca na table 1 e 2(por exemplo), tudo que for detectado
na entrada e saída da rule que você mandar.
Aí você poe no ipfw uma regra:
Ipfw add 1 deny all from table(1) to any via interface_interna
Ipfw add 2 deny all from any to table(2) via interface_externa.
Com isso você pode mandar o snortsam pegar skype,msn,kazaa,vulnerabilidades
do IIS, etc etc, tudo que as assinaturas dele pega :)
Esta opção do divert é mais simples ainda, mas não testei.
Inté
> -----Original Message-----
> From: freebsd-bounces@xxxxxxxxxx [mailto:freebsd-bounces@xxxxxxxxxx] On
> Behalf Of Welkson Renny de Medeiros
> Sent: quarta-feira, 27 de dezembro de 2006 15:53
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
>
> Como falei, pode ter sido "ignorância" minha... mas o que eu quis dizer
> é
> que nunca vi a tal "rule" que pelo menos detecta o skype... porque se
> detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec,
> ele
> analisa as regras do snort e já inclui o ip do possível atacante no
> firewall
> (ipfw)...
>
>
|