[FUG-BR] [OT] Duvidas no Snort

[Diogo Dalfovo]

Bom dia Senhores.

Instalei o Snort com Flexresp2 e tudo mais. Minha duvida é a seguinte:

Instalei ele no gateway da rede(firewall) e nele tenho um nat 1:1 (binat do
PF) apontando para meu servidor de email e tambem alguns redirecionamentos
de portas para alguns serviçoes locais (nao tenho uma DMZ ainda). Nas
variaveis do snort tem

var HOME_NET 192.168.0.0/24 -> rede local
var EXTERNAL_NET any -> posso colocar minha rede externa ou deixo como "any"
mesmo?

E nessas variaveis tenho o seguinte

var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET

essas variaveis para filtrar esses serviços apontam para rede local correto?
porem esses serviços estao em endereços externos meu DNS 200.x.x.x meu SMTP
é 200.x.x.x porem é um binat pra uma maquina local e HTTP tenho na porta 80
e 8080 porem 8080 é um redir para uma maquina local nestas variaveis coloco
meus endereços externos ou mantenho do jeito que esta?

Minha duvida alem destas acima é para filtrar os ataques/scans/etc tenho que
rodar ele na interface externa correto? ja que parte dos serviços sao
redirecionamentos e um binat ou o snort vai identificar e filtrar direto na
interface externa usando essa conf a cima?

Abraço a todos.
Diogo Dalfovo