Snort en interface bridge
-
Hola a todo el mundo, soy TOTALMENTE nuevo en PFSense y estoy mas que perdido. Si bien estoy leyendo un poco, aun falta aprender.
Actualmente tengo todos mis clientes con Mikrotik y claramente me manejo muy bien con ROS. Pero estoy interesado en usar SNORT para dar una capa mas de seguridad.
Mi idea era poner un servidor PFSense con 3 interfaces. 2 en modo bridge entre el ISP y mi Router y una tercera interface solo para administrar el PFSense.
Sobre esa interface bridge, queria activar Snort y anti-virus. Dejando todo lo que es funcion de Firewall, QOS, DHCP etc etc etc al MK
ISP–---PFSense bridge transparante-------MK-------LAN
Es posible?
Saludos -
Hola
Para Snort:
https://doc.pfsense.org/index.php/Setup_Snort_PackagePara pfSense como un transparent firewall:
https://forum.pfsense.org/index.php?topic=105205.0
https://forum.pfsense.org/index.php?topic=50711.0Salu2
-
Gracias javcasta!!! mañana me pongo a leer
-
Hola
O pasado mañana, jaja :)
Buena suerte y nos cuentas cómo lo haces.Salu2
-
Bueno. Básicamente siguiendo las indicaciones logre poner las cosas.
La única diferencia, fue que tuve que poner las 3 interfaces en el bridge. Si ponía 2 en bridge y una como LAN para administrarlo me empezaron a aparecer cosas raras en la red, hasta el punto que el PFSense tiraba DHCP en el rango 192.168.1.0/24 cuya red no tenia declarada en ningún lado del PF. Ni tampoco habilitado el servicio de DHCP.
Por lo que poniendo las 3 en el bridge solucione eso.Ahora solo me falta ver que hace SNORT cuando detecte algo, ya que tengo dudas sobre su funcionamiento sobre la interface bridge y el firewall.
Me pasa que en el firewall puse a prueba de bloquear el trafico ICMP. y cuando creo las reglas en "WAN, LAN, OPT1 y/o BRIDGE" no machea la regla, salvo que la ponga en "floating" y marcando las 4 IF.Como puedo poner a prueba el SNORT? quiero generar algo de trafico para que me bloquee y ver si el firewall trabaja como debería.
Saludos